• IT-Karriere:
  • Services:

Security: Drown gefährdet weiterhin zahlreiche Webdienste

Wie schnell patchen Serverbetreiber die Drown-Sicherheitslücke? Offenbar zu langsam, sagen mehrere Sicherheitsfirmen. Bei Heartbleed lief es deutlich besser.

Artikel veröffentlicht am ,
Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed.
Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed. (Bild: Sarah Madden/CC0 1.0)

Betreiber zahlreicher Webdienste und Cloudhoster haben es bislang offenbar versäumt, ihre Dienste gegen den TLS-Angriff Drown zu patchen. Dieser nutzt eine bekannte Attacke auf TLS aus dem Jahr 1998. Bei Entdeckung der Sicherheitslücke Anfang März 2016 waren rund ein Drittel aller Server anfällig.

Stellenmarkt
  1. nicos AG, Münster
  2. VNR Verlag für die Deutsche Wirtschaft AG, Bonn

Server sind verwundbar, wenn sie weiterhin SSLv2 zulassen. Dabei muss die Verbindung nicht einmal mit diesem Protokoll hergestellt werden, die alleinige Existenz von SSLv2 etwa als Fallback-Modus reicht aus. Der Einsatz des uralten Protokolls wurde mit dem RFC 6176 eigentlich verboten, doch offenbar halten sich viele Betreiber nicht daran.

Verwundbare Cloud-Dienste gingen nur um 5 Prozent zurück

Die Sicherheitsfirma Skyhigh Networks schreibt jetzt, sie hätten bei Veröffentlichung von Drown 653 verwundbare Cloud-Dienste gefunden. Diese Anzahl sei jedoch seitdem nur um 5,1 Prozent zurückgegangen. Nach der Veröffentlichung von Heartbleed habe sich die Rate verwundbarer Cloud-Dienste innerhalb einer Woche um rund 92,7 Prozent reduziert. Auch die Sicherheitsfirma Netskope schreibt, dass die Patchrate bei Software-as-a-Service-Anbietern deutlich geringer sei als noch bei Heartbleed.

Drown ist deutlich komplizierter auszunutzen als Heartbleed, auch die öffentliche Aufmerksamkeit für die Sicherheitslücke ist nicht so groß wie im vorletzten Jahr. Beides dürfte dazu beitragen, dass die Patch-Rate so niedrig ist.

Sebastian Schinzel, Professor an der Fachhochschule Münster und einer der Drown-Entdecker, zeigte sich im Gespräch mit Threatpost verwundert: "Drown ist eigentlich einfacher zu patchen als Heartbleed. Dort mussten die Systeme komplett heruntergefahren werden." Vermutlich werde ein Teil der Server noch länger verwundbar bleiben. "Heartbleed und Logjam sind nach wie vor da. Drown wird dem gleichen Pfad folgen. Lassen Sie uns annehmen, dass zurzeit etwa 33 Prozent der Server anfällig sind und in einem Monat nur noch 3 Prozent. Diese 3 Prozent werden bleiben, bis die Hardware stirbt." Mit den Zugriffen auf die Seite test.drownattack.com sei das Team aber generell zufrieden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 33,99€
  2. 0,45€
  3. (u. a. Warhammer 40.000: Mechanicus für 12,99€, Project Highrise für 6,99€, Filament für 9...
  4. (u. a. This War of Mine für 4,75€, Children of Morta für 11,99€, Frostpunk für 9,99€, Beat...

Vielfalt 11. Mär 2016

Wieso wird das hier nicht erwähnt?

der-dicky 11. Mär 2016

Not sure if good troll or wired user.


Folgen Sie uns
       


iPad 8 und iPad OS 14 im Test: Kritzeln auf dem iPad
iPad 8 und iPad OS 14 im Test
Kritzeln auf dem iPad

Das neue iPad 8 ist ein eher unauffälliger Refresh seines Vorgängers, bleibt aber eines der lohnenswertesten Tablets. Mit iPad OS 14 bekommt zudem der Apple Pencil spannende neue Funktionen.
Ein Test von Tobias Költzsch

  1. iPad-Betriebssystem iPadOS 14 macht Platz am Rand
  2. Zehntes Jubiläum Auch Microsoft hat das erste iPad überrascht

Amazon: Der Echo wird kugelig
Amazon
Der Echo wird kugelig

Zäsur bei Amazon: Alle neuen Echo-Lautsprecher haben ein komplett neues Design erhalten.

  1. Echo Auto im Test Tolle Sprachsteuerung und neue Alexa-Funktionen
  2. Echo Auto Amazon bringt Alexa für 60 Euro ins Auto

Facebook, Twitter und Youtube: Propaganda, Hetze und Manipulation
Facebook, Twitter und Youtube
Propaganda, Hetze und Manipulation

Immer stärker wird im US-Wahlkampf mit Falschnachrichten, Social Bots und politischen Influencern auf Facebook, Twitter oder Youtube um Wähler gebuhlt.
Eine Analyse von Sabrina Keßler

  1. Rechtsextremismus Wie QAnon zum größten Verschwörungsmythos wurde

    •  /