Ein Sicherheitsforscher gibt an, bereits Ende 2021 83 Sicherheitsl\u00fccken in der Druckerautomatisierungssoftware Vasion Print (ehemals PrinterLogic) an den Softwarehersteller gemeldet zu haben. Seitdem gab es ihm zufolge einen stetigen Kontakt, aber ob mittlerweile alle Sicherheitsprobleme gel\u00f6st sind, ist kaum durchschaubar.<\/p>\n
Nun listen das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI)<\/a> und das National Institute of Standards and Technology (NIST) einige der Schwachstellen auf. Eine Antwort zur Anfrage von heise security an den Softwarehersteller zum Status quo der Sicherheitsprobleme steht noch aus.<\/p>\n Hintergr\u00fcnde<\/p>\n In einem im April dieses Jahres ver\u00f6ffentlichten Beitrag<\/a> f\u00fchrt der Sicherheitsforscher den zeitlichen Ablauf und detaillierte Informationen zu den Sicherheitsl\u00fccken auf. Daraus geht unter anderem hervor, dass er den Softwarehersteller erstmals im November 2021 kontaktiert hat. Seitdem stand er eigenen Angaben zufolge bis Fr\u00fchling 2025 im stetigen Kontakt, und man habe sich \u00fcber die Sicherheitsprobleme ausgetauscht. Von den Softwareschwachstellen sind die Linux-, macOS- und Windows-Clients betroffen.<\/p>\n Wie aus dem Beitrag hervorgeht, wurden f\u00fcr einige L\u00fccken noch keine CVE-Nummern vergeben. Bei anderen steht auch noch die Einstufung des Bedrohungsgrads aus. F\u00fcr andere L\u00fccken sind wiederum ausf\u00fchrlichere Informationen vorhanden.<\/p>\n Alle Sicherheitsprobleme gel\u00f6st?<\/p>\n So k\u00f6nnen Angreifer unter Linux oder macOS an einer Schwachstelle (CVE-2025-34192 „kritisch“) ansetzen und eine schon seit 2019 nicht mehr im Support befindliche Kryptografie-Komponente in Vasion Print Virtual Appliance Host ausnutzen, um TLS-Verbindungen zu schw\u00e4chen. Dagegen sollen die Versionen ab 20.0.2140 und 22.0.893 ger\u00fcstet sein.<\/p>\n Durch das erfolgreiche Ausnutzen einer weiteren L\u00fccke (CVE-2025-34193 „hoch“) k\u00f6nnen sich Angreifer Systemrechte verschaffen. An dieser Stelle bleibt unklar, ob es bereits ein Sicherheitsupdate gibt. Aus dem Sicherheitsbereich der Vasion-Website zur SaaS-Version<\/a> und zu Virtual Appliance Host<\/a> ist nicht konkret ersichtlich, ob mittlerweile alle vom Sicherheitsforscher gemeldeten L\u00fccken geschlossen wurden.<\/p>\n Er gibt an, dass der Softwareanbieter im Zuge der Kommunikation manche Schwachstellen nicht als Gefahr anerkannt und die L\u00f6sungen daf\u00fcr als Verbesserungsvorschlag und nicht als Sicherheitspatch an die Entwicklungsabteilung weitergegeben hat.<\/p>\n Weil der Patchstatus aller vom Sicherheitsforscher genannten Probleme derzeit noch unklar ist, sollten Admins sicherstellen, dass sie die aktuelle Ausgabe installiert haben. Wenn Vasion sich mit einer Stellungnahme meldet, aktualisieren wir diese Meldung.<\/p>\n