Abo
  • Services:

Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig

Ein 2011 gegründetes Unternehmen setzt auf Kryptographie aus den 90ern: Eine Subdomain mit Sonderangeboten von Flixbus unterstützt nur veraltete Verschlüsselungsstandards - und das seit Monaten. Kunden können auf der Seite Ticketgutscheine kaufen und müssen dafür persönliche Daten hinterlassen.

Artikel von veröffentlicht am
Eine Webseite von Flixbus nutzt uralte Crypto.
Eine Webseite von Flixbus nutzt uralte Crypto. (Bild: Thomas Samson/AfP/Getty Images)

Eine unter einer Subdomain gehostete Webseite des Fernbusbetreibers Flixbus ist für mehrere, zum Teil etliche Jahre alte Sicherheitslücken im TLS-Protokoll anfällig. Außerdem unterstützt der Server hinter der Domain interflix.flixbus.de nach wie vor den veralteten und unsicheren Standard SSL in der Version 2. Dem Unternehmen ist das Problem ausweislich eines dokumentierten Schriftverkehrs des Golem.de-Lesers Jakob Licina seit dem 24. September 2017 bekannt. Nach Angaben von Flixbus ist dafür ein externer Dienstleister verantwortlich.

Inhalt:
  1. Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig
  2. Poodle, Drown und SSL in den Versionen 2 und 3

Auch die Hauptdomain des Unternehmens, www.flixbus.de, hatte zwischenzeitlich ein Problem. Denn dort wurde ein Zertifikat von Startcom verwendet, das jedoch mittlerweile in gängigen Browsern nicht mehr akzeptiert wird. Nach Meldung des Problems durch Licina im September verwendet Flixbus zwar ein neues Zertifikat von Let's Encrypt, das Startcom-Zertifikat wurde jedoch erst am 27. November 2017 zurückgezogen.

Erst ein erneuter Test mittels Qualys' SSL-Check am 28. November zeigt, dass das veraltete Zertifikat mittlerweile entfernt wurde. Flixbus hat das Let's-Encrypt-Zertifikat außerdem durch ein Extended-Validation-Zertifikat von Comodo ersetzt. Vorher unterstützte die Webseite mehrere unsichere Varianten des Diffie-Hellman-Schlüsselaustausches mit nur 1.024 Bit Länge. Verwendete Primzahlen sollten nach Empfehlung von Experten mindestens 2.048 Bit aufweisen.

Flixbus nutzt Amazons Content Delivery Network Cloudfront. Der Dienst ist eng mit Amazons AWS-Dienst verknüpft und übernimmt wahrscheinlich auch das Hosting der Hauptseite Flixbus.de. Das gilt jedoch nicht für die gesamte Infrastruktur des Unternehmens.

Die Subdomain ist noch verwundbar

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Nach wie vor bestehen allerdings Probleme mit der Subdomain interflix.flixbus.de. Dabei handelt es sich laut Aussage von Flixbus um ein Projekt, das bei einem externen Dienstleister gehostet wird. Die Seite ist allerdings nach wie vor für Nutzer zugänglich, über sie kann ein besonderes Ticketangebot gebucht werden: ein Gutschein für Reisen in fünf europäische Städte für einen Gesamtpreis von 99 Euro.

Der Webserver hinter interflix.flixbus.de unterstützt als aktuellen Standard TLS in Version 1.0, außerdem die als unsicher und veraltet geltenden Versionen SSL3 und SSL2. Aktuell sollte mindestens TLS in Version 1.2 verwendet werden, bei der Implementierung von TLS 1.3 gibt es nach wie vor Probleme, insbesondere mit sogenannten Middleboxen.

Die Webseite ist außerdem anfällig für die seit 2014 bekannte Sicherheitslücke in der TLS-Verschlüsselung mit dem Namen Poodle.

Poodle, Drown und SSL in den Versionen 2 und 3 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)
  3. 5€ inkl. FSK-18-Versand

Lemo 30. Nov 2017

Dazu kenne ich die Funktionsweise bei flixbus.de zu wenig, aber wenn Sessioncookies...

mehrfachgesperrt 29. Nov 2017

setzt bei auch seinem Fuhrpark auf veraltete Technik. Die Fahrzeuge werden mit Diesel...

maschu 29. Nov 2017

3DES wird zurecht nicht mehr als sicher eingestuft. Interessant ist allerdings, dass...

My1 29. Nov 2017

okay wobei ohne SHA2 geht HTTPS ja gar nicht mehr heutzutage (wobei SHA2 ja mit SP3 kam)

blizzy 29. Nov 2017

Eigentlich sollte man ja von einer Webseite, die "IT-News für Profis" bringt, erwarten...


Folgen Sie uns
       


Commodore CDTV (1991) - Golem retro_

Das CDTV wurde in den frühen 1990er Jahren von Commodore als High-End-Multimediasystem auf den Markt gebracht. Wir beleuchten die Hintergründe seines Scheiterns und spielen Exklusivtitel.

Commodore CDTV (1991) - Golem retro_ Video aufrufen
Kaufberatung: Den richtigen echt kabellosen Bluetooth-Hörstöpsel finden
Kaufberatung
Den richtigen echt kabellosen Bluetooth-Hörstöpsel finden

Wer sie einmal benutzt hat, möchte sie nicht mehr missen: sogenannte True Wireless In-Ears. Wir erklären auf Basis unserer Tests, was beim Kauf von Bluetooth-Hörstöpseln beachtet werden sollte.
Von Ingo Pakalski

  1. Nuraphone im Test Kopfhörer mit eingebautem Hörtest und Spitzenklang
  2. Patent angemeldet Dyson soll Kopfhörer mit Luftreiniger planen

Geforce RTX 2060 im Test: Gute Karte zum gutem Preis mit Speicher-Aber
Geforce RTX 2060 im Test
Gute Karte zum gutem Preis mit Speicher-Aber

Mit der Geforce RTX 2060 hat Nvidia die bisher günstigste Grafikkarte mit Turing-Architektur veröffentlicht. Für 370 Euro erhalten Spieler genug Leistung für 1080p oder 1440p und sogar für Raytracing, bei vollen Schatten- oder Textur-Details wird es aber in seltenen Fällen ruckelig.
Ein Test von Marc Sauter

  1. Grafikkarte Geforce GTX 1660 Ti soll 1.536 Shader haben
  2. Geforce RTX 2060 Founder's Edition kostet 370 Euro
  3. Turing-Architektur Nvidia stellt schnelle Geforce RTX für Notebooks vor

Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit
  2. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  3. Mobilität Das Auto der Zukunft ist modular und wandelbar

    •  /