Vier Jahre langes Hin und Her zwischen Sicherheitsforscher und Vasion Print

Ein Sicherheitsforscher gibt an, bereits Ende 2021 83 Sicherheitslücken in der Druckerautomatisierungssoftware Vasion Print (ehemals PrinterLogic) an den Softwarehersteller gemeldet zu haben. Seitdem gab es ihm zufolge einen stetigen Kontakt, aber ob mittlerweile alle Sicherheitsprobleme gelöst sind, ist kaum durchschaubar.

Nun listen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das National Institute of Standards and Technology (NIST) einige der Schwachstellen auf. Eine Antwort zur Anfrage von heise security an den Softwarehersteller zum Status quo der Sicherheitsprobleme steht noch aus.

Hintergründe

In einem im April dieses Jahres veröffentlichten Beitrag führt der Sicherheitsforscher den zeitlichen Ablauf und detaillierte Informationen zu den Sicherheitslücken auf. Daraus geht unter anderem hervor, dass er den Softwarehersteller erstmals im November 2021 kontaktiert hat. Seitdem stand er eigenen Angaben zufolge bis Frühling 2025 im stetigen Kontakt, und man habe sich über die Sicherheitsprobleme ausgetauscht. Von den Softwareschwachstellen sind die Linux-, macOS- und Windows-Clients betroffen.

Wie aus dem Beitrag hervorgeht, wurden für einige Lücken noch keine CVE-Nummern vergeben. Bei anderen steht auch noch die Einstufung des Bedrohungsgrads aus. Für andere Lücken sind wiederum ausführlichere Informationen vorhanden.

Alle Sicherheitsprobleme gelöst?

So können Angreifer unter Linux oder macOS an einer Schwachstelle (CVE-2025-34192 „kritisch“) ansetzen und eine schon seit 2019 nicht mehr im Support befindliche Kryptografie-Komponente in Vasion Print Virtual Appliance Host ausnutzen, um TLS-Verbindungen zu schwächen. Dagegen sollen die Versionen ab 20.0.2140 und 22.0.893 gerüstet sein.

Durch das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2025-34193 „hoch“) können sich Angreifer Systemrechte verschaffen. An dieser Stelle bleibt unklar, ob es bereits ein Sicherheitsupdate gibt. Aus dem Sicherheitsbereich der Vasion-Website zur SaaS-Version und zu Virtual Appliance Host ist nicht konkret ersichtlich, ob mittlerweile alle vom Sicherheitsforscher gemeldeten Lücken geschlossen wurden.

Er gibt an, dass der Softwareanbieter im Zuge der Kommunikation manche Schwachstellen nicht als Gefahr anerkannt und die Lösungen dafür als Verbesserungsvorschlag und nicht als Sicherheitspatch an die Entwicklungsabteilung weitergegeben hat.

Weil der Patchstatus aller vom Sicherheitsforscher genannten Probleme derzeit noch unklar ist, sollten Admins sicherstellen, dass sie die aktuelle Ausgabe installiert haben. Wenn Vasion sich mit einer Stellungnahme meldet, aktualisieren wir diese Meldung.

(des)