Ob die in Anlehnung an die Heartbeat-Erweiterung von TLS/DTLS (RFC 6520) genannte Heardbleed-Lücke auch tatsächlich ausgenutzt wurde, kann derzeit niemand mit Sicherheit sagen. Fest steht aber, dass OpenSSL von gut zwei Dritteln aller Webseiten, die SSL zur Verschlüsselung einsetzen, verwendet wird. Allerdings bedeutet dies nicht, dass automatisch alle Server angreifbar waren. Denn dafür muss die Heartbeat-Erweiterung auch aktiviert sein. Das trifft laut Internet-Dienstleister Netcraft für gut 500.000 Webserver zu.
Die meisten von der Schwachstelle betroffenen Webserver haben die Heartbleed-Lücke mit einem Patch inzwischen geschlossen. Das bedeutet allerdings nicht, dass die Gefahr nun vorüber ist. Erst wenn auch ein neu ausgestelltes Zertifkat installiert ist, besteht für Angreifer keine Möglichkeit, die Sicherheitslücke auszunutzen.
Anwender sollten daher die Zugangsdaten des betreffenden Servers ändern, wenn Patch und Zertifikat installiert sind. Dies lässt sich mit dem Heartbleed-Checker von Lastpass überprüfen. Das Online-Tool informiert über den Installationszeitpunkt des Zertifikats. Server, deren Zertifikate vor der Entdeckung des Bugs am 7. April ausgestellt wurden, gelten als verwundbar. Eine Liste von der Heartbleed-Lücke betroffene Server steht auf Github zur Verfügung.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…