Abo
  • Services:

Poodle, Drown und SSL in den Versionen 2 und 3

Poodle ist eine Abkürzung für Padding Oracle On Downgraded Legacy Encryption und tritt in Verbindung mit SSL in der Protokollversion 3 auf. Angreifer können mittels Man-in-the-Middle-Angriffen möglicherweise vertrauliche Session-Cookies auslesen. SSLv3 wurde bereits im Jahr 1999 durch TLS 1.0 abgelöst und sollte in keinem modernen Webserver mehr Verwendung finden. Kein aktueller Browser unterstützt mehr den veralteten Standard.

Stellenmarkt
  1. Deloitte, Düsseldorf, Leipzig, München
  2. Bosch Gruppe, Bühl

Der beste Schutz gegen Poodle ist die komplette Deaktivierung von SSLv3, alternativ kann ein Protokoll-Downgrade mit der TLS-Erweiterung SCSV vorgenommen werden. Keine der beiden Mitigationen wurde von Flixbus umgesetzt. Nach Angaben des Unternehmens wurde der zuständige Dienstleister informiert, über "Störungen" sei bislang nichts bekannt.

Weiterhin besteht eine zumindest theoretische Anfälligkeit gegen den Drown-Angriff, eine im Jahr 2016 bekanntgewordene Variante des Bleichenbacher-Angriffs. Aufgrund des Aufwands ist allerdings eher nicht mit aktiven Angriffen zu rechnen. Nichtsdestotrotz hat SSL in der Version 2 auf einem modernen Webserver nichts zu suchen.

Zahlreiche alte Ciphern - inklusive RC4

Der Server akzeptiert außerdem wegen der alten Softwareversionen zahlreiche alte Ciphern, die nicht mehr genutzt werden sollten - insbesondere den seit vielen Jahren als unsicher geltenden Algorithmus RC4, außerdem RSA in Kombination mit 3Des im CBC-Modus.

Wird der Gutschein in den Warenkorb gelegt, bleiben Nutzer auf der gleichen Seite - mit all ihren Problemen. Grundsätzlich ist es also möglich, dass Angreifer, denen die Schwachstelle bekannt ist, diese ausnutzen und eingegebene persönliche Informationen abgreifen und kopieren.

Flixbus: Kundendaten sind nicht gefährdet

Die Buchung der eigentlichen Fahrt erfolgt dann später aber über die Hauptseite von Flixbus - ohne die geschilderten Probleme. Das Unternehmen teilt dazu mit: "Auf der InterFlix-Website ist lediglich eine vorgeschaltete Transaktion integriert, die tatsächliche Fahrtbuchung erfolgt über unseren korrekt konfigurierten Webshop. Der Kunde erhält zunächst ausschließlich Gutscheincodes für die anschließende Buchung im Webshop. Zahlungs- und fahrtrelevante Daten unserer Kunden sind somit zu keiner Zeit gefährdet, da die Zahlung der InterFlix-Gutscheine über PayPal erfolgt."

Die zu der Domain gehörende IP-Adresse nutzt ausweislich eines Scans mit dem von F-Secure bereitgestellten Tool Riddler die Internet Information Services von Microsoft in Version 7.5 - also vermutlich einen Windows Server 2008 RC2. Für diese Softwareversion existiert ein Security-Advisory von Microsoft, das die Deaktivierung der RC4-Unterstützung empfiehlt. Wieso das auf einem professionell genutzten Server nicht geschieht, erschließt sich uns nicht.

Dass das Unternehmen eine solch alte Infrastruktur nutzt, ist ohnehin merkwürdig. Flixbus selbst wurde erst im Jahr 2011 gegründet.

 Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig
  1.  
  2. 1
  3. 2


Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. ab je 2,49€ kaufen
  3. 9,99€

Lemo 30. Nov 2017

Dazu kenne ich die Funktionsweise bei flixbus.de zu wenig, aber wenn Sessioncookies...

mehrfachgesperrt 29. Nov 2017

setzt bei auch seinem Fuhrpark auf veraltete Technik. Die Fahrzeuge werden mit Diesel...

maschu 29. Nov 2017

3DES wird zurecht nicht mehr als sicher eingestuft. Interessant ist allerdings, dass...

My1 29. Nov 2017

okay wobei ohne SHA2 geht HTTPS ja gar nicht mehr heutzutage (wobei SHA2 ja mit SP3 kam)

blizzy 29. Nov 2017

Eigentlich sollte man ja von einer Webseite, die "IT-News für Profis" bringt, erwarten...


Folgen Sie uns
       


Alt gegen neu - Model M im Test

Das US-Unternehmen Unicomp bietet Tastaturen mit Buckling-Spring-Schalter an - so wie sie einst bei IBMs Model-M-Modellen verwendet wurden. Die Kunststoffteile sind zwar nicht so hochwertig wie die des Originals, die neuen Model Ms sind aber dennoch sehr gute Tastaturen.

Alt gegen neu - Model M im Test Video aufrufen
Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Parker Solar Probe Sonnen-Sonde der Nasa erfolgreich gestartet
  2. Parker Solar Probe Nasa verschiebt Start seiner Sonnen-Sonde
  3. Raumfahrt Die neuen Astronauten für SpaceX und Boeing

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

    •  /