In einem Abuse-Ticket von Server4You an Kunden mit vom Drown-Angriff bedrohten Servern tauchen zehntausende IP-Adressen und Ports betroffener Server auf. Zudem stellt der Hoster den Kunden ein Ultimatum - rudert mittlerweile aber wieder zurück.
Wer einen für den Drown-Angriff anfälligen Server beim Hosting-Anbieter Server4You betreibt, erhält dieser Tage eine Warnung des Hosters. Das Abuse-Ticket ist datenschutzrechtlich bedenklich, denn dort sind über 30.000 IP-Adressen und Ports von gefährdeten Servern aufgelistet. Die Daten wurden vom CERT-Bund des Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben. Server4You hat die Liste in sein Anschreiben an gefährdete Kunden übernommen. Das ist dem Hoster zufolge aufgrund einer "Fehlfunktion" passiert.
Das CERT-Bund gibt an, von den Entdeckern der Lücke eine Liste mit 245.000 betroffenen IPs in Deutschland mit der Bitte erhalten zu haben, die Informationen an Hoster weiterzuleiten. Das BSI sieht die Weitergabe betroffener IP-Adressen seitens Server4You an Kunden kritisch, denn derartige Daten sollten nur dem Betreiber zugänglich gemacht werden. Keine Sperrung von Servern
In dem Abuse-Ticket spricht Server4You zudem eine Frist aus, dass die Schwachstelle innerhalb von 72 Stunden gefixt werden muss. Ansonsten droht der Hoster, die betroffenen Server zu sperren. Mittlerweile rudert Server4You zurück und eine Sprecherin versicherte gegenüber heise Security, dass der Hoster nun doch keine Server sperren werde. Betroffene Kunden sollen bereits informiert sein. Altlasten entledigen
Die Drown-Attacke nutzt Schwächen in SSLv2 aus, um die Verschlüsselung aufzubrechen. Davon sollen rund ein Drittel aller Server die verschlüsselt erreichbar sind betroffen sein. Dem BSI sind derzeit keine aktiven Angriffe bekannt.
Auf der Drown-Info-Webseite können Admins ihre Server auf die Schwachstelle prüfen. Um Server abzusichern, muss man SSLv2 abschalten. Zusätzlich empfehlen die Entdecker der Lücke alle Cipher Suites mit v2 aus der Server-Konfiguration zu entfernen. Auf der Drown-Webseite finden sich unter dem Punkt „How do I protect my server?“ weitere Vorgehensweisen. Zudem sollten Betroffene die abgedichteten OpenSSL-Versionen 1.0.1s und 1.0.2g einspielen.