Abo
  • IT-Karriere:

Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig

Ein 2011 gegründetes Unternehmen setzt auf Kryptographie aus den 90ern: Eine Subdomain mit Sonderangeboten von Flixbus unterstützt nur veraltete Verschlüsselungsstandards - und das seit Monaten. Kunden können auf der Seite Ticketgutscheine kaufen und müssen dafür persönliche Daten hinterlassen.

Artikel von veröffentlicht am
Eine Webseite von Flixbus nutzt uralte Crypto.
Eine Webseite von Flixbus nutzt uralte Crypto. (Bild: Thomas Samson/AfP/Getty Images)

Eine unter einer Subdomain gehostete Webseite des Fernbusbetreibers Flixbus ist für mehrere, zum Teil etliche Jahre alte Sicherheitslücken im TLS-Protokoll anfällig. Außerdem unterstützt der Server hinter der Domain interflix.flixbus.de nach wie vor den veralteten und unsicheren Standard SSL in der Version 2. Dem Unternehmen ist das Problem ausweislich eines dokumentierten Schriftverkehrs des Golem.de-Lesers Jakob Licina seit dem 24. September 2017 bekannt. Nach Angaben von Flixbus ist dafür ein externer Dienstleister verantwortlich.

Inhalt:
  1. Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig
  2. Poodle, Drown und SSL in den Versionen 2 und 3

Auch die Hauptdomain des Unternehmens, www.flixbus.de, hatte zwischenzeitlich ein Problem. Denn dort wurde ein Zertifikat von Startcom verwendet, das jedoch mittlerweile in gängigen Browsern nicht mehr akzeptiert wird. Nach Meldung des Problems durch Licina im September verwendet Flixbus zwar ein neues Zertifikat von Let's Encrypt, das Startcom-Zertifikat wurde jedoch erst am 27. November 2017 zurückgezogen.

Erst ein erneuter Test mittels Qualys' SSL-Check am 28. November zeigt, dass das veraltete Zertifikat mittlerweile entfernt wurde. Flixbus hat das Let's-Encrypt-Zertifikat außerdem durch ein Extended-Validation-Zertifikat von Comodo ersetzt. Vorher unterstützte die Webseite mehrere unsichere Varianten des Diffie-Hellman-Schlüsselaustausches mit nur 1.024 Bit Länge. Verwendete Primzahlen sollten nach Empfehlung von Experten mindestens 2.048 Bit aufweisen.

Flixbus nutzt Amazons Content Delivery Network Cloudfront. Der Dienst ist eng mit Amazons AWS-Dienst verknüpft und übernimmt wahrscheinlich auch das Hosting der Hauptseite Flixbus.de. Das gilt jedoch nicht für die gesamte Infrastruktur des Unternehmens.

Die Subdomain ist noch verwundbar

Stellenmarkt
  1. ruhlamat GmbH, Marksuhl
  2. THD - Technische Hochschule Deggendorf, Deggendorf

Nach wie vor bestehen allerdings Probleme mit der Subdomain interflix.flixbus.de. Dabei handelt es sich laut Aussage von Flixbus um ein Projekt, das bei einem externen Dienstleister gehostet wird. Die Seite ist allerdings nach wie vor für Nutzer zugänglich, über sie kann ein besonderes Ticketangebot gebucht werden: ein Gutschein für Reisen in fünf europäische Städte für einen Gesamtpreis von 99 Euro.

Der Webserver hinter interflix.flixbus.de unterstützt als aktuellen Standard TLS in Version 1.0, außerdem die als unsicher und veraltet geltenden Versionen SSL3 und SSL2. Aktuell sollte mindestens TLS in Version 1.2 verwendet werden, bei der Implementierung von TLS 1.3 gibt es nach wie vor Probleme, insbesondere mit sogenannten Middleboxen.

Die Webseite ist außerdem anfällig für die seit 2014 bekannte Sicherheitslücke in der TLS-Verschlüsselung mit dem Namen Poodle.

Poodle, Drown und SSL in den Versionen 2 und 3 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 79,00€
  2. 999,00€ + Versand
  3. (u. a. GTA 5 12,49€, GTA Online Cash Card 1,79€)
  4. (aktuell u. a. Dell-Notebook 519€, Dell USB-DVD-Brenner 34,99€)

Lemo 30. Nov 2017

Dazu kenne ich die Funktionsweise bei flixbus.de zu wenig, aber wenn Sessioncookies...

mehrfachgesperrt 29. Nov 2017

setzt bei auch seinem Fuhrpark auf veraltete Technik. Die Fahrzeuge werden mit Diesel...

maschu 29. Nov 2017

3DES wird zurecht nicht mehr als sicher eingestuft. Interessant ist allerdings, dass...

My1 29. Nov 2017

okay wobei ohne SHA2 geht HTTPS ja gar nicht mehr heutzutage (wobei SHA2 ja mit SP3 kam)

blizzy 29. Nov 2017

Eigentlich sollte man ja von einer Webseite, die "IT-News für Profis" bringt, erwarten...


Folgen Sie uns
       


Noctuas passiver CPU-Kühler (Computex 2019)

Noctua zeigt den ersten passiven CPU-Kühler, welcher sogar einen achtkernigen Core i9-9900K auf Temperatur halten kann.

Noctuas passiver CPU-Kühler (Computex 2019) Video aufrufen
Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

Google Maps in Berlin: Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird
Google Maps in Berlin
Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird

Kartendienste sind für Touristen wie auch Ortskundige längst eine willkommene Hilfe. Doch manchmal gibt es größere Fehler. In Berlin werden beispielsweise einige Kleinprofil-Linien falsch gerendert. Dabei werden betriebliche Besonderheiten dargestellt.
Von Andreas Sebayang

  1. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich
  2. Kartendienst Qwant startet Tracking-freie Alternative zu Google Maps
  3. Nahverkehr Google verbessert Öffi-Navigation in Maps

    •  /