Poodle, Drown und SSL in den Versionen 2 und 3

Poodle ist eine Abkürzung für Padding Oracle On Downgraded Legacy Encryption und tritt in Verbindung mit SSL in der Protokollversion 3 auf. Angreifer können mittels Man-in-the-Middle-Angriffen möglicherweise vertrauliche Session-Cookies auslesen. SSLv3 wurde bereits im Jahr 1999 durch TLS 1.0 abgelöst und sollte in keinem modernen Webserver mehr Verwendung finden. Kein aktueller Browser unterstützt mehr den veralteten Standard.

Stellenmarkt
  1. Releasemanager und Testkoordinator (m/w/d)
    i-SOLUTIONS Health GmbH, Bochum
  2. Webadministratorinnen / Webadministratoren (m/w/d)
    Information und Technik Nordrhein-Westfalen (IT.NRW), Hagen, Düsseldorf, Köln, Münster
Detailsuche

Der beste Schutz gegen Poodle ist die komplette Deaktivierung von SSLv3, alternativ kann ein Protokoll-Downgrade mit der TLS-Erweiterung SCSV vorgenommen werden. Keine der beiden Mitigationen wurde von Flixbus umgesetzt. Nach Angaben des Unternehmens wurde der zuständige Dienstleister informiert, über "Störungen" sei bislang nichts bekannt.

Weiterhin besteht eine zumindest theoretische Anfälligkeit gegen den Drown-Angriff, eine im Jahr 2016 bekanntgewordene Variante des Bleichenbacher-Angriffs. Aufgrund des Aufwands ist allerdings eher nicht mit aktiven Angriffen zu rechnen. Nichtsdestotrotz hat SSL in der Version 2 auf einem modernen Webserver nichts zu suchen.

Zahlreiche alte Ciphern - inklusive RC4

Der Server akzeptiert außerdem wegen der alten Softwareversionen zahlreiche alte Ciphern, die nicht mehr genutzt werden sollten - insbesondere den seit vielen Jahren als unsicher geltenden Algorithmus RC4, außerdem RSA in Kombination mit 3Des im CBC-Modus.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Wird der Gutschein in den Warenkorb gelegt, bleiben Nutzer auf der gleichen Seite - mit all ihren Problemen. Grundsätzlich ist es also möglich, dass Angreifer, denen die Schwachstelle bekannt ist, diese ausnutzen und eingegebene persönliche Informationen abgreifen und kopieren.

Flixbus: Kundendaten sind nicht gefährdet

Die Buchung der eigentlichen Fahrt erfolgt dann später aber über die Hauptseite von Flixbus - ohne die geschilderten Probleme. Das Unternehmen teilt dazu mit: "Auf der InterFlix-Website ist lediglich eine vorgeschaltete Transaktion integriert, die tatsächliche Fahrtbuchung erfolgt über unseren korrekt konfigurierten Webshop. Der Kunde erhält zunächst ausschließlich Gutscheincodes für die anschließende Buchung im Webshop. Zahlungs- und fahrtrelevante Daten unserer Kunden sind somit zu keiner Zeit gefährdet, da die Zahlung der InterFlix-Gutscheine über PayPal erfolgt."

Die zu der Domain gehörende IP-Adresse nutzt ausweislich eines Scans mit dem von F-Secure bereitgestellten Tool Riddler die Internet Information Services von Microsoft in Version 7.5 - also vermutlich einen Windows Server 2008 RC2. Für diese Softwareversion existiert ein Security-Advisory von Microsoft, das die Deaktivierung der RC4-Unterstützung empfiehlt. Wieso das auf einem professionell genutzten Server nicht geschieht, erschließt sich uns nicht.

Dass das Unternehmen eine solch alte Infrastruktur nutzt, ist ohnehin merkwürdig. Flixbus selbst wurde erst im Jahr 2011 gegründet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Finanzierungsrunde
Onlyfans ist über 1 Milliarde US-Dollar wert

Prominente, Influencer und Erotikfilmstars zeigen sich hier freizügig. Der Umsatz von Onlyfans steigt derzeit stark an.

Finanzierungsrunde: Onlyfans ist über 1 Milliarde US-Dollar wert
Artikel
  1. Netflix: Warum so viele Serien nur zwei Staffeln lang laufen
    Netflix
    Warum so viele Serien nur zwei Staffeln lang laufen

    Die Superhelden-Serie Jupiter's Legacy war bei ihrem Start ein Erfolg bei Netflix. Jetzt wurde sie eingestellt. Wie entscheidet Netflix, ob eine Serie verlängert wird?
    Von Peter Osteried

  2. CD Projekt Red: Update 1.23 für Cyberpunk 2077 mit CPU-Optimierungen
    CD Projekt Red
    Update 1.23 für Cyberpunk 2077 mit CPU-Optimierungen

    Kurz vor dem Neustart von Cyberpunk 2077 im Playstation Store hat CD Projekt Red das Update auf Version 1.23 veröffentlicht.

  3. Model S Plaid: Teslas Knight-Rider-Lenkrad könnte ergonomischer Krampf sein
    Model S Plaid
    Teslas Knight-Rider-Lenkrad könnte ergonomischer Krampf sein

    Das D-förmige Lenkrad im neuen Tesla Model S sorgt für Kontroversen. Erste Fahrer haben es ausprobiert und sind nicht glücklich damit.

Lemo 30. Nov 2017

Dazu kenne ich die Funktionsweise bei flixbus.de zu wenig, aber wenn Sessioncookies...

mehrfachgesperrt 29. Nov 2017

setzt bei auch seinem Fuhrpark auf veraltete Technik. Die Fahrzeuge werden mit Diesel...

maschu 29. Nov 2017

3DES wird zurecht nicht mehr als sicher eingestuft. Interessant ist allerdings, dass...

My1 29. Nov 2017

okay wobei ohne SHA2 geht HTTPS ja gar nicht mehr heutzutage (wobei SHA2 ja mit SP3 kam)

blizzy 29. Nov 2017

Eigentlich sollte man ja von einer Webseite, die "IT-News für Profis" bringt, erwarten...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 bei o2 bestellbar • Xbox Series X bei MM bestellbar 499,99€ • Breaking Deals (u. a. LG 75" Nanocell 8K 2.699€) • Corsair 32GB 3600 Kit 182,90€ • Ab 18 Uhr: Sharkoon Live Shopping: bis 40% Rabatt • PCGH Gaming-PC RX 6800 XT 2.500€ • Rabatt auf Geschenkkarten bei Amazon [Werbung]
    •  /