Abo
  • Services:

Poodle, Drown und SSL in den Versionen 2 und 3

Poodle ist eine Abkürzung für Padding Oracle On Downgraded Legacy Encryption und tritt in Verbindung mit SSL in der Protokollversion 3 auf. Angreifer können mittels Man-in-the-Middle-Angriffen möglicherweise vertrauliche Session-Cookies auslesen. SSLv3 wurde bereits im Jahr 1999 durch TLS 1.0 abgelöst und sollte in keinem modernen Webserver mehr Verwendung finden. Kein aktueller Browser unterstützt mehr den veralteten Standard.

Stellenmarkt
  1. LOSAN Pharma GmbH, Neuenburg
  2. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart

Der beste Schutz gegen Poodle ist die komplette Deaktivierung von SSLv3, alternativ kann ein Protokoll-Downgrade mit der TLS-Erweiterung SCSV vorgenommen werden. Keine der beiden Mitigationen wurde von Flixbus umgesetzt. Nach Angaben des Unternehmens wurde der zuständige Dienstleister informiert, über "Störungen" sei bislang nichts bekannt.

Weiterhin besteht eine zumindest theoretische Anfälligkeit gegen den Drown-Angriff, eine im Jahr 2016 bekanntgewordene Variante des Bleichenbacher-Angriffs. Aufgrund des Aufwands ist allerdings eher nicht mit aktiven Angriffen zu rechnen. Nichtsdestotrotz hat SSL in der Version 2 auf einem modernen Webserver nichts zu suchen.

Zahlreiche alte Ciphern - inklusive RC4

Der Server akzeptiert außerdem wegen der alten Softwareversionen zahlreiche alte Ciphern, die nicht mehr genutzt werden sollten - insbesondere den seit vielen Jahren als unsicher geltenden Algorithmus RC4, außerdem RSA in Kombination mit 3Des im CBC-Modus.

Wird der Gutschein in den Warenkorb gelegt, bleiben Nutzer auf der gleichen Seite - mit all ihren Problemen. Grundsätzlich ist es also möglich, dass Angreifer, denen die Schwachstelle bekannt ist, diese ausnutzen und eingegebene persönliche Informationen abgreifen und kopieren.

Flixbus: Kundendaten sind nicht gefährdet

Die Buchung der eigentlichen Fahrt erfolgt dann später aber über die Hauptseite von Flixbus - ohne die geschilderten Probleme. Das Unternehmen teilt dazu mit: "Auf der InterFlix-Website ist lediglich eine vorgeschaltete Transaktion integriert, die tatsächliche Fahrtbuchung erfolgt über unseren korrekt konfigurierten Webshop. Der Kunde erhält zunächst ausschließlich Gutscheincodes für die anschließende Buchung im Webshop. Zahlungs- und fahrtrelevante Daten unserer Kunden sind somit zu keiner Zeit gefährdet, da die Zahlung der InterFlix-Gutscheine über PayPal erfolgt."

Die zu der Domain gehörende IP-Adresse nutzt ausweislich eines Scans mit dem von F-Secure bereitgestellten Tool Riddler die Internet Information Services von Microsoft in Version 7.5 - also vermutlich einen Windows Server 2008 RC2. Für diese Softwareversion existiert ein Security-Advisory von Microsoft, das die Deaktivierung der RC4-Unterstützung empfiehlt. Wieso das auf einem professionell genutzten Server nicht geschieht, erschließt sich uns nicht.

Dass das Unternehmen eine solch alte Infrastruktur nutzt, ist ohnehin merkwürdig. Flixbus selbst wurde erst im Jahr 2011 gegründet.

 Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. ab 119,98€ (Release 04.10.)
  2. 915€ + Versand

Lemo 30. Nov 2017

Dazu kenne ich die Funktionsweise bei flixbus.de zu wenig, aber wenn Sessioncookies...

mehrfachgesperrt 29. Nov 2017

setzt bei auch seinem Fuhrpark auf veraltete Technik. Die Fahrzeuge werden mit Diesel...

maschu 29. Nov 2017

3DES wird zurecht nicht mehr als sicher eingestuft. Interessant ist allerdings, dass...

My1 29. Nov 2017

okay wobei ohne SHA2 geht HTTPS ja gar nicht mehr heutzutage (wobei SHA2 ja mit SP3 kam)

blizzy 29. Nov 2017

Eigentlich sollte man ja von einer Webseite, die "IT-News für Profis" bringt, erwarten...


Folgen Sie uns
       


Coup Elektroroller in Berlin - Kurzbericht

Coup lädt bis zu 154 Akkus in Berlin an einer automatischen Ladestation für 1.000 Elektroroller auf.

Coup Elektroroller in Berlin - Kurzbericht Video aufrufen
Kaufberatung: Der richtige smarte Lautsprecher
Kaufberatung
Der richtige smarte Lautsprecher

Der Markt für smarte Lautsprecher wird immer größer. Bei der Entscheidung für ein Gerät sind Kaufpreis und Klang wichtig, ebenso die Wahl für einen digitalen Assistenten: Alexa, Google Assistant oder Siri? Wir geben eine Übersicht.
Von Ingo Pakalski

  1. Amazon Alexa Echo Sub verhilft Echo-Lautsprechern zu mehr Bass
  2. Beosound 2 Bang & Olufsen bringt smarten Lautsprecher für 2.000 Euro
  3. Google und Amazon Markt für smarte Lautsprecher wächst weiter stark

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

    •  /