Sicherheitsforscher: Über 300.000 Server von Heartbleed betroffen
von caschy | 8 Kommentare
Nicht lange ist es her, da machte der OpenSSL-Bug Heartbleed von sich reden. Unzählige betroffene Server, Systeme und Apps sorgten für Panik bei Anwendern und Administratoren. Der Bug als solches wurde gefixt, zahlreiche Unternehmen unterstützen nun das OpenSSL-Projekt finanziell. Doch obwohl es medial ruhig geworden ist, ist die Gefahr nach Ansicht des Sicherheitsforschers Robert Graham noch lange nicht aus der Welt. Bei einem Scan im Mai fand er über 318.000 Server, die immer noch anfällig für den Heartbleed-Bug sind. Bei einem Scan nach Bekanntwerden des Bugs machte er 600.000 Server aus. Zwischen dem Bekanntwerden und dem Scan im letzten Monat sind also knapp die Hälfte der Server gepatcht worden. Und nun, einen weiteren Monat später? Die Zahl der gepatchten Server scheint zu stagnieren, knapp 9000 Server wurden gepatcht, sodass immer noch 309.000 Server betroffen sind. Eine erschreckende und gefährliche Zahl.
Wird geladen ...
Das hab ich mir fast gedacht… Leider sind die Leute immer recht Faul, wenn es um Updates geht…
@Peter
„never change a running system“ soll ja noch Leute geben die nach dem Motto im Internet sich herumtreiben 🙂
traurig, wo ein Update unter linux mit „apt-get“ doch so schön einfach ist ^^
@DragonHunter
Interessant dass du das unter jedem Linux hinbekommst. 😉
Mal ne blöde Frage: Wie kann man über einen Scan die Version feststellen?
@root: die version kann man sicher nicht feststellen, ich denke hier wird einfach der bug ausgenutzt indem geschaut wird, ob der Server einen teil des Inhalts des Arbeitsspeichers mitsendet.
@Niemand: Ich denke hier wird nicht getestet ob das Zertifikat erneuert wurde, sondern dass der Bug immer noch ausnutzbar ist (quelle nicht gelesen, hier hört es sich nur so an ob der Bug noch ausnutzbar ist). Update + Neustart und der Test ist zumindest nicht mehr positiv würde ich mal behaupten.
Da das Zertifikat durch den Bug gestohlen sein könnte ist es aber trotzdem sinnvoll es zu tauschen 😉
Allgmein aber wirklich erschreckend, dass so viele Server nicht gepatcht wurden, wenn ich bedenke, dass bei dem Anbieter, bei dem ich bin, ein paar Stunden nach bekannt werden gepatcht wurde…
@Alex das verheerende ist das ein einfaches update ausreichen würde, es muss nichts neugestartet werden (außer den openssl prozess), jetzt kann man sich mal überlegen wie viele völlig veraltete Systeme im Netz herumfliegen (wenn so ein simples update schon nicht gemacht wird).
Ganz einfach eine Fritzbox wird beim Vertragsabschluss einmal angefasst und angeschlossen und danach nie wieder.
Heartbleed: zählen nur Server mit Update oder muss auch ein neues Zertifikat vorhanden sein?
Weil der zweite Punkt kostet ja wiederum Geld und ist somit nicht lohnend.