Gut gemeint ist das Gegenteil von gut gemacht: Der Hoster von Server4You hat ein Abuse-Ticket an seine Kunden verschickt, wenn deren Server für den Drown-Angriff anfällig sind. Das Ticket enthält auch die Daten anderer Kunden.
Anzeige
Vor einigen Tagen wurde ja die Drown-Sicherheitslücke in Serverumgebungen bekannt, die auf einem längst nicht mehr verwendeten SSL-Protokoll basiert. Arstechnica schreibt am 1. März 2016 hier, dass 11 Millionen Webserver von Drown betroffen seien, weil SSLv2 Schwächen aufweist. Bei heise. de hat man das Thema in diesem Artikel ganz gut aufbereitet. Die Drown-Attacke ("Decrypting RSA with Obsolete and Weakend eNcryption") nutzt laut heise.de Schwächen in SSLv2, um verschlüsselte Verbindungen zu knacken, die zum Beispiel über das moderne TLS 1.2 abgewickelt werden.
So weit so schlecht. Auf der Webseite The DROWN Attack kann man testen, ob eine Domain bzw. deren Server anfällig für DROWN-Angriffe ist. Beim Hoster Server4You laufen offenbar einige Webserver, die genau das alte SSLv2-Verschlüsselungsverfahren noch verwenden. Also hat der Hoster die betreffenden Kunden mit einem Abuse-Ticket, als Warnung verpackt, über das Problem informiert. Wie heise.de hier schreibt, ist dieses Abuse-Ticket aber datenschutzrechtlich bedenklich, enthält es doch über 30.000 IP-Adressen und Ports von gefährdeten Servern. So hat DROWN die Server4You-Kunden "indirekt" getroffen – trotzdem unschön.
2015
Pingback: Anonymous