Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Veel servers blijken nog steeds kwetsbaar voor Heartbleed-bug

Bij een scan van alle ipv4-adressen met behulp van de portscanner masscan zijn nog 318.000 systemen aangetroffen die vatbaar zijn voor de Heartbleed-bug in OpenSSL. Vlak nadat de kwetsbaarheid aan het licht kwam waren 615.000 systemen nog kwetsbaar.

De resultaten van onderzoeker Robert Graham, de ontwikkelaar van de efficiënte portscanner masscan, kunnen er op wijzen dat het aantal kwetsbare servers is afgenomen, maar dat is niet met zekerheid te zeggen. Tijdens de portscan, die zich enkel toelegde op https-poort 443, vond Graham 22 miljoen servers die ssl ondersteunden; bij de vorige portscan waren dat er 28 miljoen.

Het zou kunnen dat firewalls de pogingen van Graham om servers te testen op aanwezigheid van de Heartbleed-bug blokkeerden, of dat hij last heeft gehad van opstoppingen bij zijn eigen internetprovider. Zeker is in ieder geval dat er nog steeds veel servers kwetsbaar zijn voor de Heartbleed-bug.

Opmerkelijk is dat Graham 1,5 miljoen systemen vond waarop de heartbeat-extensie, waarin de kwetsbaarheid aanwezig is, was ingeschakeld. Een dag nadat de bug werd ontdekt, ontdekte hij slechts een miljoen systemen waarop de heartbeat-extensie was ingeschakeld. Graham denkt dat veel sysadmins heartbeat hebben uitgeschakeld op hun server totdat er een fix beschikbaar was.

De Heartbleed-bug kwam een maand geleden aan het licht. De bug laat kwaadwillenden malafide requests naar een OpenSSL-server sturen, waarna die een deel van het interne geheugen terugstuurt als antwoord. Daarmee liggen in theorie privésleutels, onversleutelde wachtwoorden en andere gevoelige informatie op straat.

Door Joost Schellevis

Redacteur

09-05-2014 • 09:11

44 Linkedin Google+

Reacties (44)

Wijzig sortering
Alleen klopt hun info niet. Als ik de https-versie van onze eigen site opgeef, meldt Netcraft (bron)
The site offered the Heartbeat TLS extension prior to the Heartbleed disclosure, but is using a new certificate.
Toen de heartbleed bug bekend werd, draaide die site op Centos 5 met OpenSSL 0.9.8 en was dus niet vulnerable. Dit weekend heb ik de hele server overgezet naar Centos 6 en https voor die site uitgezet.

Overigens mooi staaltje van eigen vlees keuren. Netcraft zelf vindt ssl.netcraft.com top-of-the-bill, maar ssllabs geeft het slechts een B:
https://www.ssllabs.com/s...e.html?d=ssl.netcraft.com

@Jester: Hij geeft dus niet aan of de site vatbaar was, maar wekt wel die suggestie. Zo blijkt ook wel uit jouw reactie. Verder hebben we het certificaat vervangen, omdat het ook gebruikt werd op wel vulnerable servers. En voor toolsforresearch hebben we SSL gewoon uitgezet zonder er een nieuw certificaat neer te zetten.

[Reactie gewijzigd door Jan-E op 12 mei 2014 13:03]

Dus de info klopt?
Voor het weekend gebruikte je Heartbeat (of had het in ieder geval aan staan). Dat staat er namelijk. Er staat niet dat je ook vatbaar bent (of was).
Daarnaast staan er nu nieuwe certificaten op je servers (sinds 12 april).
Overigens: je certificaat is niet geldig voor de site die je aangeeft. Het is een wildcard-certificaat voor de .nl-site van de organisatie die het domein bezit ;)

Voor wat betreft het keuren van eigen vlees: Ik denk dat de test-methoden een beetje verschillen, aangezien jouw site bij netcraft.com nogal wat hoger scoort dan bij SSLlabs... maar dat laatste kun je met een goed certificaat zo weer recht krijgen ;)

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True