Abo
  • Services:

Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig

Ein 2011 gegründetes Unternehmen setzt auf Kryptographie aus den 90ern: Eine Subdomain mit Sonderangeboten von Flixbus unterstützt nur veraltete Verschlüsselungsstandards - und das seit Monaten. Kunden können auf der Seite Ticketgutscheine kaufen und müssen dafür persönliche Daten hinterlassen.

Artikel von veröffentlicht am
Eine Webseite von Flixbus nutzt uralte Crypto.
Eine Webseite von Flixbus nutzt uralte Crypto. (Bild: Thomas Samson/AfP/Getty Images)

Eine unter einer Subdomain gehostete Webseite des Fernbusbetreibers Flixbus ist für mehrere, zum Teil etliche Jahre alte Sicherheitslücken im TLS-Protokoll anfällig. Außerdem unterstützt der Server hinter der Domain interflix.flixbus.de nach wie vor den veralteten und unsicheren Standard SSL in der Version 2. Dem Unternehmen ist das Problem ausweislich eines dokumentierten Schriftverkehrs des Golem.de-Lesers Jakob Licina seit dem 24. September 2017 bekannt. Nach Angaben von Flixbus ist dafür ein externer Dienstleister verantwortlich.

Inhalt:
  1. Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig
  2. Poodle, Drown und SSL in den Versionen 2 und 3

Auch die Hauptdomain des Unternehmens, www.flixbus.de, hatte zwischenzeitlich ein Problem. Denn dort wurde ein Zertifikat von Startcom verwendet, das jedoch mittlerweile in gängigen Browsern nicht mehr akzeptiert wird. Nach Meldung des Problems durch Licina im September verwendet Flixbus zwar ein neues Zertifikat von Let's Encrypt, das Startcom-Zertifikat wurde jedoch erst am 27. November 2017 zurückgezogen.

Erst ein erneuter Test mittels Qualys' SSL-Check am 28. November zeigt, dass das veraltete Zertifikat mittlerweile entfernt wurde. Flixbus hat das Let's-Encrypt-Zertifikat außerdem durch ein Extended-Validation-Zertifikat von Comodo ersetzt. Vorher unterstützte die Webseite mehrere unsichere Varianten des Diffie-Hellman-Schlüsselaustausches mit nur 1.024 Bit Länge. Verwendete Primzahlen sollten nach Empfehlung von Experten mindestens 2.048 Bit aufweisen.

Flixbus nutzt Amazons Content Delivery Network Cloudfront. Der Dienst ist eng mit Amazons AWS-Dienst verknüpft und übernimmt wahrscheinlich auch das Hosting der Hauptseite Flixbus.de. Das gilt jedoch nicht für die gesamte Infrastruktur des Unternehmens.

Die Subdomain ist noch verwundbar

Stellenmarkt
  1. Software AG, Darmstadt
  2. Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen

Nach wie vor bestehen allerdings Probleme mit der Subdomain interflix.flixbus.de. Dabei handelt es sich laut Aussage von Flixbus um ein Projekt, das bei einem externen Dienstleister gehostet wird. Die Seite ist allerdings nach wie vor für Nutzer zugänglich, über sie kann ein besonderes Ticketangebot gebucht werden: ein Gutschein für Reisen in fünf europäische Städte für einen Gesamtpreis von 99 Euro.

Der Webserver hinter interflix.flixbus.de unterstützt als aktuellen Standard TLS in Version 1.0, außerdem die als unsicher und veraltet geltenden Versionen SSL3 und SSL2. Aktuell sollte mindestens TLS in Version 1.2 verwendet werden, bei der Implementierung von TLS 1.3 gibt es nach wie vor Probleme, insbesondere mit sogenannten Middleboxen.

Die Webseite ist außerdem anfällig für die seit 2014 bekannte Sicherheitslücke in der TLS-Verschlüsselung mit dem Namen Poodle.

Poodle, Drown und SSL in den Versionen 2 und 3 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. (u. a. 4 Blu-rays für 20€, 2 TV-Serien für 20€)

Lemo 30. Nov 2017

Dazu kenne ich die Funktionsweise bei flixbus.de zu wenig, aber wenn Sessioncookies...

mehrfachgesperrt 29. Nov 2017

setzt bei auch seinem Fuhrpark auf veraltete Technik. Die Fahrzeuge werden mit Diesel...

maschu 29. Nov 2017

3DES wird zurecht nicht mehr als sicher eingestuft. Interessant ist allerdings, dass...

My1 29. Nov 2017

okay wobei ohne SHA2 geht HTTPS ja gar nicht mehr heutzutage (wobei SHA2 ja mit SP3 kam)

blizzy 29. Nov 2017

Eigentlich sollte man ja von einer Webseite, die "IT-News für Profis" bringt, erwarten...


Folgen Sie uns
       


Shadow of the Tomb Raider - Golem.de live Teil 2

In Teil 2 des Livestreams zu Shadow of the Tomb Raider finden wir lustige Grafikfehler und der Chat trinkt zu viel Bier, kann Michael aber trotzdem bei einigen Rätseln helfen.

Shadow of the Tomb Raider - Golem.de live Teil 2 Video aufrufen
Norsepower: Stahlsegel helfen der Umwelt und sparen Treibstoff
Norsepower
Stahlsegel helfen der Umwelt und sparen Treibstoff

Der erste Test war erfolgreich: Das finnische Unternehmen Norsepower hat zwei weitere Schiffe mit Rotorsails ausgestattet. Der erste Neubau mit dem Windhilfsantrieb ist in Planung. Neue Regeln der Seeschifffahrtsorganisation könnten bewirken, dass künftig mehr Schiffe saubere Antriebe bekommen.
Ein Bericht von Werner Pluta

  1. Car2X Volkswagen will Ampeln zuhören
  2. Innotrans Die Schiene wird velosicher
  3. Logistiktram Frankfurt liefert Pakete mit Straßenbahn aus

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


      •  /