Noch ein Nachtrag in Sachen Sicherheit. Anfang Juli 2024 gab es in der openwall-Mailing-Liste Hinweise zu Schwachstellen im GhostScript-Interpreter (vor Version 10.03.1). Zudem haben die Sicherheitsforscher um Thomas Rinsma einen Blog-Beitrag zur Schwachstelle CVE-2024-29510 berichtet, dass diese angegriffen wird. Inzwischen sollten aber die meisten Linux-Distributionen und Software-Pakete, die Ghostscript (z.B. zur PDF-Anzeige) verwenden. Aktualisiert worden sein. Danke an den Leser, der mich bereits vor einigen Tagen mit der Anmerkung "z.B. versteckt sich Ghostscript oft in jeder Menge Software die PDFs erstellt. Und zwar so, dass man es nicht mehr erkennen kann. Wer Glück hat, kann 1:1 die BINs und LIBs von dem neuen Release ersetzen und hat wieder Zeit gewonnen bis die nächste CVE bei Ghostscript entdeckt wird." auf diesen Artikel bei heise hingewiesen hat.
Anzeige
Anzeige
>>> Inzwischen sollten aber die meisten Linux-Distributionen und Software-Pakete, die Ghostscript (z.B. zur PDF-Anzeige) verwenden.<<<
Halte ich für Wunschdenken. 15 Monate nach Entdeckung der Log4Shell-Lücke war auf heise online zu lesen (1), dass immer noch 34 Prozent der täglichen Downloads von Log4j Versionen seien, die für die Sicherheitslücke CVE-2021-44228 anfällig sind. Parallelen halte ich für jederzeit denkbar, gerade unter Windows!
(1) https://www.heise.de/meinung/Log4Shell-Open-Source-als-Gefahr-fuer-die-Software-Lieferkette-7606506.html
Oh ja, die Softwarehersteller die Ghostscript einsetzen hängen teils Jahre hinterher. Bestes Beispiel ist die Deutsche Post mit Ihrer E-Post Business Box.
Richtet sich ja, wie der Name schon sagt, an Geschäftskunden und da freut man sich immer wenn über 3 Jahre alte Librarys zum Einsatz kommen.
Einfach austausch bzw. andere Version installieren ist auch nicht, da geht die E-Post nämlich nicht mehr.
Im epost mailer wurde das vor ein paar Versionen behoben. Ursache war das sie nicht auf die Major Release Nummer geprüft haben. Nerv mal deinen Vertrieblichen Ansprechpartner. Den Support kann man ja nicht vernünftig kontaktieren.
Ja, die Updatewilligkeit ist schon erschreckend niedrig.
Stand heute sind z.B. mehrere tausend Exchange-Instanzen in Deutschland auf dem Patchstand von 2022!
Bei Windows Server sieht es ähnlich erschreckend aus.
Und wir sind da nicht alleine.
In Frankreich sieht es ähnlich erschreckend aus.
Da muß man sich über die häufigen erfolgreichen Hackversuche nicht wundern.
Und das, was man so öffentlich mitbekommt, wird nur die Spitze des Eisbergs sein.
Naja, hab die Tage Thunderbird 11 (Patchstand 2012!) im Produktivgebrauch gesehen – wie auch immer so etwas auf einen Windows 10 PC kommt ;) Und Officepakete irgendwas vor 2010, jedenfalls können die noch kein DOCX, nur DOC. Da passt die 2008er Server-VM mit mehr oder weniger Internetzugang (Hardwarefirewall gar nicht erst vorhanden) gut dazu…
Wobei Server 2008 noch bis Oktober Sicherheitsupdates über das ESU-Programm bekommt.
Aber da sollte man schon dringend einen Ersatz anstoßen.
DOCX gibt es seit Office 2007, muß also Office 2003 oder älter sein.
Es gibt sogar ein Kompatibilitätspaket von Microsoft.
Damit kann Office 2000 bis 2003 auch die X-Formate ab Office 2007 lesen und schreiben.
Und was die Usability angeht, da schlägt ein altes Office 2003 oder älter ein Office 2007 oder neuer deutlich.
Der Ribbon-Kram ist nur Krampf.
"Wobei Server 2008 noch bis Oktober Sicherheitsupdates über das ESU-Programm bekommt."
Ist hier aber ziemlich sicher nicht der Fall. Da dürfte seit dem EOL nichts mehr passiert sein. Bin mal gespannt, was ich noch so finde… Nicht die optimalen Voraussetzungen für einen Dienstleister, dessen Auftraggeber und Schwesterfirmen unter NIS2 fallen ;)
Naja, sehen wir es positiv: Hier kann man zumindest etwas verbessern.
Ich kann die Aufzählung vielleicht toppen:
Vor ca. 3 Jahren habe ich einen Windows NT4 Rechner aus einer Produktionsanlage entsorgt, die ans Netz gehen sollte.
https://blog.jakobs.systems/blog/20211121-industrie-nt-4/
Das Problem sind nicht vergammelte Versionen von etwas. Das Problem ist, dass diese Systeme nicht hinreichend isoliert sind.
Als Faustregel gilt: Sich die Produktlebenszyklen der IT Branche nicht aufzwingen lassen. Eine Software wird nicht alt, sie wird ausgereifter und besser, sofern der Hersteller diese nicht weiterhin pflegen und supporten will.
>>> Eine Software wird nicht alt, sie wird ausgereifter und besser, sofern der Hersteller diese nicht weiterhin pflegen und supporten will. <<<
Ziemlich wirr, das verstehe wer will. Wie soll etwas besser werden wenn es nicht mehr gepflegt wird?
Und die Empfehlung "Sich die Produktlebenszyklen der IT Branche nicht aufzwingen lassen." könnte aus einem Kampfblättchen der grün-alternativen Jugend stammen.
Eben schon unter einem anderen Post geschrieben:
UBitMenu holt das alte Menü zurück in allen Versionen seit 2007 (ja, auch Office 365).
Ist für privat kostenlos und für Firmen kostet es € 10 Basislizenz + € 0.65 pro Benutzer + ggf. MWSt.
PaperCut verwendet auf Windows eine abgewandelte Version von GhostScript – GhostTrap. läuft in einer Sandbox und soll sicherer sein. Bin auch nur durch eine Warnung über unser Vulnerability tool darauf gestoßen. Ev. auch für andere Programme nutzbar.
https://www.papercut.com/help/manuals/mobility-print/how-it-works/ghost-trap-script/
https://www.papercut.com/kb/Main/GhostScriptVulnerabilities/
https://github.com/PaperCutSoftware/GhostTrap
Der Elefant im Raum sind die zahlreichen "Branchenlösungen", aus freien Projekten meist handwerklich mies zusammen geklöppelte Software, wo Softwarehersteller durch die Bank ein Geheimnis daraus machen, wie sie etwas gemacht haben. Selbst DB Kennwörter werden meist unfreiwillig weitergegeben. Teils sind die Libs sogar am System vorbei statisch verlinkt, damit alles funktioniert und es weniger Supportfälle gibt.
Diese Frickelbuden weden never ever irgendwas unter der Haube updaten.
Und gerade bei der Branchensoftware hat man oft wenig Auswahl. Die meiste andere Software kann man noch irgendwie mehr oder weniger gut ersetzen oder es gibt regelmäßig Updates – bei Branchensoftware bleibst du oft auf dem einmal festgelegten Stand hängen. Und dafür braucht man dann eben auch noch eine VM mit Windows Server 2008, die natürlich auch zwingend Internet braucht…
Der PDF-Creator benutzt auch GS und wird ganz sicher häufig eingesetzt, zumal er flexibler ist als der PDF-Printer von MS, der als Drucker bereits vorinstalliert ist.