Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig

Eine unter einer Subdomain gehostete Webseite des Fernbusbetreibers Flixbus ist für mehrere, zum Teil etliche Jahre alte Sicherheitslücken im TLS-Protokoll anfällig. Außerdem unterstützt der Server hinter der Domain interflix.flixbus.de nach wie vor den veralteten und unsicheren Standard SSL in der Version 2. Dem Unternehmen ist das Problem ausweislich eines dokumentierten Schriftverkehrs des Golem.de-Lesers Jakob Licina seit dem 24. September 2017 bekannt. Nach Angaben von Flixbus ist dafür ein externer Dienstleister verantwortlich.

Auch die Hauptdomain des Unternehmens, www.flixbus.de, hatte zwischenzeitlich ein Problem. Denn dort wurde ein Zertifikat von Startcom verwendet, das jedoch mittlerweile in gängigen Browsern nicht mehr akzeptiert wird. Nach Meldung des Problems durch Licina im September verwendet Flixbus zwar ein neues Zertifikat von Let's Encrypt, das Startcom-Zertifikat wurde jedoch erst am 27. November 2017 zurückgezogen.

Erst ein erneuter Test mittels Qualys' SSL-Check am 28. November zeigt, dass das veraltete Zertifikat mittlerweile entfernt wurde. Flixbus hat das Let's-Encrypt-Zertifikat außerdem durch ein Extended-Validation-Zertifikat von Comodo ersetzt. Vorher unterstützte die Webseite mehrere unsichere Varianten des Diffie-Hellman-Schlüsselaustausches mit nur 1.024 Bit Länge. Verwendete Primzahlen sollten nach Empfehlung von Experten mindestens 2.048 Bit aufweisen.

Flixbus nutzt Amazons Content Delivery Network Cloudfront. Der Dienst ist eng mit Amazons AWS-Dienst verknüpft und übernimmt wahrscheinlich auch das Hosting der Hauptseite Flixbus.de. Das gilt jedoch nicht für die gesamte Infrastruktur des Unternehmens.

Die Subdomain ist noch verwundbar

Stellenmarkt

1. KION Group AG, Frankfurt am Main
2. Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen

Nach wie vor bestehen allerdings Probleme mit der Subdomain interflix.flixbus.de. Dabei handelt es sich laut Aussage von Flixbus um ein Projekt, das bei einem externen Dienstleister gehostet wird. Die Seite ist allerdings nach wie vor für Nutzer zugänglich, über sie kann ein besonderes Ticketangebot gebucht werden: ein Gutschein für Reisen in fünf europäische Städte für einen Gesamtpreis von 99 Euro.

Der Webserver hinter interflix.flixbus.de unterstützt als aktuellen Standard TLS in Version 1.0, außerdem die als unsicher und veraltet geltenden Versionen SSL3 und SSL2. Aktuell sollte mindestens TLS in Version 1.2 verwendet werden, bei der Implementierung von TLS 1.3 gibt es nach wie vor Probleme, insbesondere mit sogenannten Middleboxen.

Die Webseite ist außerdem anfällig für die seit 2014 bekannte Sicherheitslücke in der TLS-Verschlüsselung mit dem Namen Poodle.