Noch 300.000 Server weltweit für Heartbleed anfällig

Zwei Monate nach der Entdeckung des Heartbleed-Bugs sind noch immer mehr als 300.000 Server weltweit für den Fehler in der Verschlüsselungssoftware OpenSSL anfällig. Das hat das Sicherheitsunternehmen Errata Security ermittelt. Damit hat sich die Zahl der Server, die eine unsichere Version von OpenSSL verwenden, seit Anfang April halbiert.

Gegenüber dem Vormonat hat sich die Zahl aber praktisch nicht verändert. Im Mai fand Errata Security bei seinen Scans noch 318.239 Server mit einer fehlerhaften OpenSSL-Version. Aktuell seien es noch 309.197, schreibt Sicherheitsforscher Robert David Graham in einem Blogeintrag. Damit sei die Patchrate auf einen einstelligen Prozentwert gesunken.

„Das zeigt, dass die Leute nicht einmal mehr versuchen, ihre Server zu patchen“, so Graham weiter. Er geht davon aus, dass es auch in zehn Jahren noch Tausende Server geben wird, die für Heartbleed anfällig sind, darunter auch kritische Systeme.

Die Sicherheitsfirma Codenomicon hatte den Heartbleed-Bug Anfang April öffentlich gemacht. Er gibt Zugriff auf den flüchtigen Speicher eines Webservers. Mit den Daten könnte ein Angreifer kritische Informationen auslesen und den Server sogar gegenüber Dritten verkörpern, indem sie sich den Schlüssel des Originalservers verschaffen.

Einer im Mai veröffentlichten Studie von Netcraft zufolge sind allerdings nicht alle Server wieder sicher, die inzwischen eine gepatchte OpenSSL-Version verwenden. Viele Betreiber hätten zwar zusätzlich neue SSL/TLS-Zertifikate ausgestellt, aber nicht die verwendeten und möglicherweise auch kompromittierten privaten Schlüssel ausgetauscht. Von diesem Fehler sind laut Netcraft mindestens 30.000 Zertifikate betroffen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de