Abo
  • Services:

Poodle, Drown und SSL in den Versionen 2 und 3

Poodle ist eine Abkürzung für Padding Oracle On Downgraded Legacy Encryption und tritt in Verbindung mit SSL in der Protokollversion 3 auf. Angreifer können mittels Man-in-the-Middle-Angriffen möglicherweise vertrauliche Session-Cookies auslesen. SSLv3 wurde bereits im Jahr 1999 durch TLS 1.0 abgelöst und sollte in keinem modernen Webserver mehr Verwendung finden. Kein aktueller Browser unterstützt mehr den veralteten Standard.

Stellenmarkt
  1. über duerenhoff GmbH, Erding
  2. Dataport, Verschiedene Standorte

Der beste Schutz gegen Poodle ist die komplette Deaktivierung von SSLv3, alternativ kann ein Protokoll-Downgrade mit der TLS-Erweiterung SCSV vorgenommen werden. Keine der beiden Mitigationen wurde von Flixbus umgesetzt. Nach Angaben des Unternehmens wurde der zuständige Dienstleister informiert, über "Störungen" sei bislang nichts bekannt.

Weiterhin besteht eine zumindest theoretische Anfälligkeit gegen den Drown-Angriff, eine im Jahr 2016 bekanntgewordene Variante des Bleichenbacher-Angriffs. Aufgrund des Aufwands ist allerdings eher nicht mit aktiven Angriffen zu rechnen. Nichtsdestotrotz hat SSL in der Version 2 auf einem modernen Webserver nichts zu suchen.

Zahlreiche alte Ciphern - inklusive RC4

Der Server akzeptiert außerdem wegen der alten Softwareversionen zahlreiche alte Ciphern, die nicht mehr genutzt werden sollten - insbesondere den seit vielen Jahren als unsicher geltenden Algorithmus RC4, außerdem RSA in Kombination mit 3Des im CBC-Modus.

Wird der Gutschein in den Warenkorb gelegt, bleiben Nutzer auf der gleichen Seite - mit all ihren Problemen. Grundsätzlich ist es also möglich, dass Angreifer, denen die Schwachstelle bekannt ist, diese ausnutzen und eingegebene persönliche Informationen abgreifen und kopieren.

Flixbus: Kundendaten sind nicht gefährdet

Die Buchung der eigentlichen Fahrt erfolgt dann später aber über die Hauptseite von Flixbus - ohne die geschilderten Probleme. Das Unternehmen teilt dazu mit: "Auf der InterFlix-Website ist lediglich eine vorgeschaltete Transaktion integriert, die tatsächliche Fahrtbuchung erfolgt über unseren korrekt konfigurierten Webshop. Der Kunde erhält zunächst ausschließlich Gutscheincodes für die anschließende Buchung im Webshop. Zahlungs- und fahrtrelevante Daten unserer Kunden sind somit zu keiner Zeit gefährdet, da die Zahlung der InterFlix-Gutscheine über PayPal erfolgt."

Die zu der Domain gehörende IP-Adresse nutzt ausweislich eines Scans mit dem von F-Secure bereitgestellten Tool Riddler die Internet Information Services von Microsoft in Version 7.5 - also vermutlich einen Windows Server 2008 RC2. Für diese Softwareversion existiert ein Security-Advisory von Microsoft, das die Deaktivierung der RC4-Unterstützung empfiehlt. Wieso das auf einem professionell genutzten Server nicht geschieht, erschließt sich uns nicht.

Dass das Unternehmen eine solch alte Infrastruktur nutzt, ist ohnehin merkwürdig. Flixbus selbst wurde erst im Jahr 2011 gegründet.

 Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 199€ (Bestpreis!)
  2. 319€ (aktuell günstigste GTX 1070!)
  3. (u. a. Euro Truck Simulator 2 - Beyond the Baltic Sea (DLC) für 8,99€ und Fortnite - Deep Freeze...
  4. 99€ + Versand (Vergleichspreis ca. 116€ + Versand)

Lemo 30. Nov 2017

Dazu kenne ich die Funktionsweise bei flixbus.de zu wenig, aber wenn Sessioncookies...

mehrfachgesperrt 29. Nov 2017

setzt bei auch seinem Fuhrpark auf veraltete Technik. Die Fahrzeuge werden mit Diesel...

maschu 29. Nov 2017

3DES wird zurecht nicht mehr als sicher eingestuft. Interessant ist allerdings, dass...

My1 29. Nov 2017

okay wobei ohne SHA2 geht HTTPS ja gar nicht mehr heutzutage (wobei SHA2 ja mit SP3 kam)

blizzy 29. Nov 2017

Eigentlich sollte man ja von einer Webseite, die "IT-News für Profis" bringt, erwarten...


Folgen Sie uns
       


Padrone-Maus-Ring - Kampagnenvideo (Indiegogo)

Der Ring des Schweizer Startups Padrone soll die Maus überflüssig machen.

Padrone-Maus-Ring - Kampagnenvideo (Indiegogo) Video aufrufen
Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
    Radeon VII im Test
    Die Grafikkarte für Videospeicher-Liebhaber

    Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
    2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
    3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

    Tesla: Kleiner Gewinn, ungewisse Zukunft
    Tesla
    Kleiner Gewinn, ungewisse Zukunft

    Tesla erzielt im vierten Quartal 2018 einen kleinen Gewinn. Doch mit Entlassungen, Schuldenberg, Preisanhebungen beim Laden, Wegfall des Empfehlungsprogramms und zunehmendem Wettbewerb durch andere Hersteller sieht die Zukunft des Elektroauto-Herstellers durchwachsen aus.
    Eine Analyse von Dirk Kunde

    1. Tesla Model 3 Tesla macht alle Varianten des Model 3 günstiger
    2. Kundenprotest Tesla senkt Supercharger-Preise wieder
    3. Stromladetankstellen Tesla erhöht Supercharger-Preise drastisch

      •  /