Sicherheitsforscher: Über 300.000 Server von Heartbleed betroffen

Nicht lange ist es her, da machte der OpenSSL-Bug Heartbleed von sich reden. Unzählige betroffene Server, Systeme und Apps sorgten für Panik bei Anwendern und Administratoren. Der Bug als solches wurde gefixt, zahlreiche Unternehmen unterstützen nun das OpenSSL-Projekt finanziell. Doch obwohl es medial ruhig geworden ist, ist die Gefahr nach Ansicht des Sicherheitsforschers Robert Graham noch lange nicht aus der Welt. Bei einem Scan im Mai fand er über 318.000 Server, die immer noch anfällig für den Heartbleed-Bug sind. Bei einem Scan nach Bekanntwerden des Bugs machte er 600.000 Server aus. Zwischen dem Bekanntwerden und dem Scan im letzten Monat sind also knapp die Hälfte der Server gepatcht worden. Und nun, einen weiteren Monat später? Die Zahl der gepatchten Server scheint zu stagnieren, knapp 9000 Server wurden gepatcht, sodass immer noch 309.000 Server betroffen sind. Eine erschreckende und gefährliche Zahl.Heartbleed

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. Das hab ich mir fast gedacht… Leider sind die Leute immer recht Faul, wenn es um Updates geht…

  2. @Peter
    „never change a running system“ soll ja noch Leute geben die nach dem Motto im Internet sich herumtreiben 🙂

  3. DragonHunter says:

    traurig, wo ein Update unter linux mit „apt-get“ doch so schön einfach ist ^^

  4. @DragonHunter
    Interessant dass du das unter jedem Linux hinbekommst. 😉

  5. Mal ne blöde Frage: Wie kann man über einen Scan die Version feststellen?

  6. @root: die version kann man sicher nicht feststellen, ich denke hier wird einfach der bug ausgenutzt indem geschaut wird, ob der Server einen teil des Inhalts des Arbeitsspeichers mitsendet.

    @Niemand: Ich denke hier wird nicht getestet ob das Zertifikat erneuert wurde, sondern dass der Bug immer noch ausnutzbar ist (quelle nicht gelesen, hier hört es sich nur so an ob der Bug noch ausnutzbar ist). Update + Neustart und der Test ist zumindest nicht mehr positiv würde ich mal behaupten.
    Da das Zertifikat durch den Bug gestohlen sein könnte ist es aber trotzdem sinnvoll es zu tauschen 😉

    Allgmein aber wirklich erschreckend, dass so viele Server nicht gepatcht wurden, wenn ich bedenke, dass bei dem Anbieter, bei dem ich bin, ein paar Stunden nach bekannt werden gepatcht wurde…

  7. @Alex das verheerende ist das ein einfaches update ausreichen würde, es muss nichts neugestartet werden (außer den openssl prozess), jetzt kann man sich mal überlegen wie viele völlig veraltete Systeme im Netz herumfliegen (wenn so ein simples update schon nicht gemacht wird).

  8. Ganz einfach eine Fritzbox wird beim Vertragsabschluss einmal angefasst und angeschlossen und danach nie wieder.

    Heartbleed: zählen nur Server mit Update oder muss auch ein neues Zertifikat vorhanden sein?
    Weil der zweite Punkt kostet ja wiederum Geld und ist somit nicht lohnend.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.