• IT-Karriere:
  • Services:

Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig

Ein 2011 gegründetes Unternehmen setzt auf Kryptographie aus den 90ern: Eine Subdomain mit Sonderangeboten von Flixbus unterstützt nur veraltete Verschlüsselungsstandards - und das seit Monaten. Kunden können auf der Seite Ticketgutscheine kaufen und müssen dafür persönliche Daten hinterlassen.

Artikel von veröffentlicht am
Eine Webseite von Flixbus nutzt uralte Crypto.
Eine Webseite von Flixbus nutzt uralte Crypto. (Bild: Thomas Samson/AfP/Getty Images)

Eine unter einer Subdomain gehostete Webseite des Fernbusbetreibers Flixbus ist für mehrere, zum Teil etliche Jahre alte Sicherheitslücken im TLS-Protokoll anfällig. Außerdem unterstützt der Server hinter der Domain interflix.flixbus.de nach wie vor den veralteten und unsicheren Standard SSL in der Version 2. Dem Unternehmen ist das Problem ausweislich eines dokumentierten Schriftverkehrs des Golem.de-Lesers Jakob Licina seit dem 24. September 2017 bekannt. Nach Angaben von Flixbus ist dafür ein externer Dienstleister verantwortlich.

Inhalt:
  1. Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig
  2. Poodle, Drown und SSL in den Versionen 2 und 3

Auch die Hauptdomain des Unternehmens, www.flixbus.de, hatte zwischenzeitlich ein Problem. Denn dort wurde ein Zertifikat von Startcom verwendet, das jedoch mittlerweile in gängigen Browsern nicht mehr akzeptiert wird. Nach Meldung des Problems durch Licina im September verwendet Flixbus zwar ein neues Zertifikat von Let's Encrypt, das Startcom-Zertifikat wurde jedoch erst am 27. November 2017 zurückgezogen.

Erst ein erneuter Test mittels Qualys' SSL-Check am 28. November zeigt, dass das veraltete Zertifikat mittlerweile entfernt wurde. Flixbus hat das Let's-Encrypt-Zertifikat außerdem durch ein Extended-Validation-Zertifikat von Comodo ersetzt. Vorher unterstützte die Webseite mehrere unsichere Varianten des Diffie-Hellman-Schlüsselaustausches mit nur 1.024 Bit Länge. Verwendete Primzahlen sollten nach Empfehlung von Experten mindestens 2.048 Bit aufweisen.

Flixbus nutzt Amazons Content Delivery Network Cloudfront. Der Dienst ist eng mit Amazons AWS-Dienst verknüpft und übernimmt wahrscheinlich auch das Hosting der Hauptseite Flixbus.de. Das gilt jedoch nicht für die gesamte Infrastruktur des Unternehmens.

Die Subdomain ist noch verwundbar

Stellenmarkt
  1. ICon GmbH & Co. KG, Pforzheim
  2. Schock GmbH, Regen

Nach wie vor bestehen allerdings Probleme mit der Subdomain interflix.flixbus.de. Dabei handelt es sich laut Aussage von Flixbus um ein Projekt, das bei einem externen Dienstleister gehostet wird. Die Seite ist allerdings nach wie vor für Nutzer zugänglich, über sie kann ein besonderes Ticketangebot gebucht werden: ein Gutschein für Reisen in fünf europäische Städte für einen Gesamtpreis von 99 Euro.

Der Webserver hinter interflix.flixbus.de unterstützt als aktuellen Standard TLS in Version 1.0, außerdem die als unsicher und veraltet geltenden Versionen SSL3 und SSL2. Aktuell sollte mindestens TLS in Version 1.2 verwendet werden, bei der Implementierung von TLS 1.3 gibt es nach wie vor Probleme, insbesondere mit sogenannten Middleboxen.

Die Webseite ist außerdem anfällig für die seit 2014 bekannte Sicherheitslücke in der TLS-Verschlüsselung mit dem Namen Poodle.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Poodle, Drown und SSL in den Versionen 2 und 3 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (u. a. Rage 2 für 11€, The Elder Scrolls V: Skyrim Special Edition für 11,99€, Doom Eternal...
  2. (-82%) 11,00€

Lemo 30. Nov 2017

Dazu kenne ich die Funktionsweise bei flixbus.de zu wenig, aber wenn Sessioncookies...

mehrfachgesperrt 29. Nov 2017

setzt bei auch seinem Fuhrpark auf veraltete Technik. Die Fahrzeuge werden mit Diesel...

maschu 29. Nov 2017

3DES wird zurecht nicht mehr als sicher eingestuft. Interessant ist allerdings, dass...

My1 29. Nov 2017

okay wobei ohne SHA2 geht HTTPS ja gar nicht mehr heutzutage (wobei SHA2 ja mit SP3 kam)

blizzy 29. Nov 2017

Eigentlich sollte man ja von einer Webseite, die "IT-News für Profis" bringt, erwarten...


Folgen Sie uns
       


Macbook Air (2020) - Test

Endlich streicht Apple die fehlerhafte Butterfly auch beim Macbook Air. Im Test sind allerdings einige andere Mängel noch vorhanden.

Macbook Air (2020) - Test Video aufrufen
Threat-Actor-Expertin: Militärisch, stoisch, kontrolliert
Threat-Actor-Expertin
Militärisch, stoisch, kontrolliert

Sandra Joyces Fachgebiet sind Malware-Attacken. Sie ist Threat-Actor-Expertin - ein Job mit viel Stress und Verantwortung. Wenn sie eine Attacke einem Land zuschreibt, sollte sie besser sicher sein.
Ein Porträt von Maja Hoock

  1. Emotet Die Schadsoftware Trickbot warnt vor sich selbst
  2. Loveletter Autor des I-love-you-Virus wollte kostenlos surfen
  3. DNS Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

Galaxy Note 20 im Hands-on: Samsung entwickelt sein Stift-Smartphone kaum weiter
Galaxy Note 20 im Hands-on
Samsung entwickelt sein Stift-Smartphone kaum weiter

Samsungs Galaxy Note 20 kommt in zwei Versionen auf den Markt, die beide fast gleich groß, aber unterschiedlich ausgestattet sind.
Ein Hands-on von Tobias Költzsch

  1. Samsung Galaxy Watch 3 kostet ab 418 Euro
  2. Galaxy Tab S7 Samsung bringt Top-Tablets ab 681 Euro
  3. Galaxy Buds Live Samsung stellt bohnenförmige drahtlose Kopfhörer vor

Sysadmin Day 2020: Du kannst doch Computer ...
Sysadmin Day 2020
Du kannst doch Computer ...

Das mit den Computern könne er vergessen, sagte ihm das Arbeitsamt nach dem Schulabschluss. Am Ende wurde Michael Fischer aber doch noch Sysadmin, zur allerbesten Sysadmin-Zeit.
Ein Porträt von Boris Mayer


      •  /