Heartbleed gefährdet weltweit noch 300.000 Server
Die Zahl hat sich seit bekannt werden von Heartbleed im April halbiert. Allerdings haben Website-Betreiber seit Ende Mai nur 9000 Server aktualisiert. Server mit einer für Heartbleed anfällig OpenSSL-Version werden nach Ansicht von Errata Security auch noch in zehn Jahren bestehen.
Weltweit sind noch mehr als 300.000 Server anfällig für Heartbleed. Die Sicherheitslücke in der Verschlüsselungssoftware OpenSSL wurde vor zwei Monaten bekannt. Zu diesem Ergebnis kommt das Sicherheitsunternehmen Errata Security. Seit Anfang April hat sich demnach die Zahl der Server, die eine unsichere Version von OpenSSL einsetzt, halbiert.
Allerdings hat sich die Zahl gegenüber dem Vormonat kaum verändert. Bei Scans im Mai entdeckte Errata Security noch 318.239 Server mit einer fehlerhaften OpenSSL-Version. Wie Sicherheitsforscher Robert David Graham in einem Blog schreibt, sind es momentan noch 309.197 Server. Die Patchrate sei auf einen einstelligen Prozentwert gefallen.
“Das zeigt, dass die Leute nicht einmal mehr versuchen, ihre Server zu patchen”, so Graham weiter. Seiner Ansicht nach werden auch in zehn Jahren noch Tausende Server für Heartbleed anfällig sein. Darunter befänden sich auch kritische Systeme.
Anfang April hatte die Sicherheitsfirma Codenomicon den Heartbleed-Bug öffentlich gemacht. Der Fehler ermöglicht einem Angreifer Zugriff auf den Speicher eines Webservers. Dadurch könnte er an kritische Informationen gelangen und den Server gegenüber Dritten verkörpern. Dafür benötigt er den Schlüssel des Originalservers.
Eine im Mai vorgestellte Studie von Netcraft zeigt, dass nicht alle Server wieder sicher sind, die mittlerweile eine gepatchte OpenSSL-Version einsetzen. Demnach hätten zwar viele Betreiber neue SSL/TLS-Zertifikate ausgestellt, allerdings nicht die verwendeten und wahrscheinlich ebenfalls kompromittierten privaten Schlüssel ausgetauscht. Netcraft zufolge sind davon mindestens 30.000 Zertifikate betroffen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de