SSL-Lücke: Noch mindestens 300.000 Server anfällig für Heartbleed

Zwei Monate, nachdem die Heartbleed genannte Sicherheitslücke bekannt wurde, sind immer noch Hunderttausende über das Internet erreichbare Server ungepatcht. Dies behauptet ein Security-Unternehmen aus den USA, das vor einem Monat deutlich mehr frisch gepatchte Systeme fand.

23. Juni 2014 um 19:47 Uhr / Nico Ernst

21 Kommentare News folgen (öffnet im neuen Fenster)

Der Heartbleed-Bug ist offenbar auch in Routern vorhanden. (Bild: EFF) — Der Heartbleed-Bug ist offenbar auch in Routern vorhanden. Bild: EFF

Errata Systems hat bereits zum dritten Mal mittels eines massenhaften Scans von IP-Adressen nach Systemen gesucht, die über das Internet erreichbar und anfällig für die Heartbleed-Lücke sind. Zuerst wurde diese Untersuchung kurz nach der Entdeckung des schwerwiegenden Fehlers in OpenSSL durchgeführt, damals wurden rund 615.000 Systeme gefunden(öffnet im neuen Fenster) , bei denen sich der Bug ausnutzen ließ.

Einen Monat später waren es(öffnet im neuen Fenster) nur noch rund 318.000 Server, Ende Juni 2014 – beim dritten Scan – allerdings immer noch gut 309.000 Systeme(öffnet im neuen Fenster) . Errata schließt daraus, dass viele Administratoren nach der ersten Aufregung um die bisher größte Sicherheitslücke bei SSL-Verschlüsselung sogar die Bemühungen um einen Patch eingestellt hätten. Einige Systeme, so die Sicherheitsforscher, würden zwar mit der Zeit durch neue ersetzt, welche den Fehler dann nicht mehr aufweisen würden.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Leitung – Amt für Digitalisierung und IT (Wirtschaftsinformatik, angewandte Informatik oder Verwaltungsinformatik) Landkreis Rotenburg Haupt- und Personalamt, Rotenburg (Wümme),Homeoffice (öffnet im neuen Fenster)

Embedded Firmware Entwickler (m/w/d) RP-Engineering GmbH, Esslingen (öffnet im neuen Fenster)

Junior AI Developer & Consultant (m/w/d) Helios Ventilatoren GmbH + Co KG, Villingen-Schwenningen (öffnet im neuen Fenster)

Senior Linux-Administratorin / Senior Linux-Administrator (m/w/d) Schwerpunkt Desktop-Umgebung Landesbetrieb Information und Technik Nordrhein-Westfalen (IT.NRW), Köln,Düsseldorf,Oberhausen,Hagen,Münster,Paderborn (öffnet im neuen Fenster)

Informatiker / Bioinformatiker / Wirtschaftsinformatiker als Business Analyst Application Development (m/w/d) DKMS Group gGmbH, Tübingen,Köln,Berlin (öffnet im neuen Fenster)

IT-Koordination / IT-Entwicklung: Discovery-Systeme / VuFind (m/w/d) Bibliotheksservice-Zentrum Baden-Württemberg (BSZ), Konstanz (öffnet im neuen Fenster)

Fachinformatiker (m/w/d) Softwarebetreuung pfenning logistics GmbH, Heddesheim (öffnet im neuen Fenster)

UX Researcher (w/m/d) DENIOS SE, Bad Oeynhausen (öffnet im neuen Fenster)

Errata gibt offen zu, dass sein Programm " Masscan(öffnet im neuen Fenster) " , mit dem die Tests durchgeführt werden, inzwischen von Firewalls entdeckt werden könnte. Es sei also gar nicht möglich, manche Systeme auf Anfälligkeit für Heartbleed zu prüfen. Das erklärt auch, warum beim ersten Scan rund 28 Millionen Systeme auf SSL-Anfragen geantwortet hätten, beim zweiten aber nur noch 22 Millionen. Wie viele Anlagen beim dritten Versuch gefunden wurden, geht aus den aktuellen Angaben nicht hervor.

Die tatsächliche Zahl der erreichbaren Server mit Heartbleed-Bug kann zudem noch deutlich über den genannten Angaben liegen, wie die Masscan-Programmierer erklären(öffnet im neuen Fenster) . Das Tool nimmt nämlich nur Verbindungen mit je einer IP-Adresse auf. Hinter dieser können aber, wie vor allem bei kleinen Websites, die in einem fremden Rechenzentrum gehostet werden, eine Vielzahl an Online-Präsenzen hängen. Diese Server hängen üblicherweise an einem gemeinsamen Load Balancer(öffnet im neuen Fenster) , und Masscan landet bei seinen Tests nur bei diesem Gerät.

Zur Startseite 21 Kommentare

Reklame Hier geht es zum Handbuch für Softwareentwickler bei Amazon

Relevante Themen