[English]In den HP Universal Print-Druckertreibern (PCL 6 und PostScript) für Windows gibt es in älteren Versionen potentielle Schwachstellen. Hintergrund ist, dass diese Druckertreiber die Bibliotheken libjpeg, libpng, OpenSSL und zlib verwenden und diese (teils uralte) Schwachstellen aufweisen. HP hat zum 29. Januar 2025 einen Sicherheitshinweis und ein Treiberupdate dazu herausgegeben.
Anzeige
Ein Leserhinweis
Ein Blog-Leser hat sich bei mir gemeldet und fragte, ob mir was zu einer Schwachstelle im "HP Universal Print Driver PCL6" bekannt sei. Er bezog sich auf eine Sicherheitsmeldung von HP von Ende Januar 2025. Er meinte, dass er noch auf der Suche sei, welches Risiko der Einsatz einer älteren Treiberversion habe und welche Probleme bei der Aktualisierung auftreten können.
Der HP Sicherheitshinweis
Druckerhersteller HP hat zum 29.01.2025 die Sicherheitswarnung HP Universal Print Driver Series (PCL 6 and PostScript) – Potential Security Vulnerabilities veröffentlicht. Der Universal Print Driver kann unter Windows verwendet werden, um verschiedene HP-Drucker anzusteuern. Im HP Universal Print Driver Series (PCL 6 und PostScript) wurden potentielle Schwachstellen in diversen Bibliotheken bekannt.
- CVE-2017-12652 (CVSS 3-Score 9.8, Critical) in libpng, Arbitrary Code Execution
- CVE-2022-2068 (CVSS 3-Score 9.8, Critical) in OpenSSL, Arbitrary Code Execution
- CVE-2023-45853 (CVSS 3-Score 9.8, Critical) in zlib, Information Disclosure
- CVE-2020-14152 (CVSS 3-Score7.1, High) in libjpeg, Denial of Service
Gemäß den CVE-Werten sind diese Schwachstellen schon recht alt und reichen bis 2017 zurück. Betroffen sind alle HP Universal Printing Driver Series-Treiber (PCL 6 und PostScript) vor 7.3.0.25919. HP hat einen aktualisierten HP Universal Printing Driver Series-Treiber Version 7.3.0.25919 veröffentlicht, um die Schwachstellen zu schließen.
Anzeige
Auf der offiziellen HP Downloadseite hat diese Treiberversion 7.3.0.25919 das Datum 18.November 2024
support. hp. com/us-en/drivers/hp-universal-print-driver-series-for-windows/503548
Im HP Security Artikel steht allerdings als Release-Datum der 29.Januar 2025 drin (wie auch hier im Blog-Artikel und in anderen Medien):
support. hp. com/us-en/document/ish_11892982-11893015-16/hpsbpi03995
HP hat also 10 Wochen lang gewartet, bevor die Sicherheitslücken veröffentlicht wurden.
Wenn ein Drucker Postscript kann, dann braucht man im Prinzip keinen Treiber mehr (driverless printing).
Das kann fast jeder Drucker, nur die GDI-Drucker nicht.
Man kann auch mit einem Smartphone auf so einem Drucker ausdrucken, ohne erst am Smartphone einen Treiber installieren zu müssen.
In Linux kann CUPS auch alle Drucker ansprechen, ohne individuelle Treiber installiert zu haben.
Bei Apple ist treiberloses drucken auch schon lange normal.
Lediglich Windows meint mal wieder eine Extrawurst zu benötigen und das führt dann völlig unnötigerweise zu massenhaft Sicherheitslücken.
"HP hat also 10 Wochen lang gewartet, bevor die Sicherheitslücken veröffentlicht wurden."
3x Core 9.8. 1x immerhin auch 7.1.
Die CVE-Nummern sind von 2017, 2020, 2022, 2023. Das sind Jahreszahlen, nicht irgendwelche Phantasiezahlen. HP ist der wahrscheinlich bedeutestende Druckerhersteller der Welt, wahrscheinlich insbesondere in Unternehmen. Da solche Lücken schleifen zu lassen, mir fehlen da echt die Worte.
Die CVEs beziehen sich auf die Komponenten. Wie das im Druckertreiber (Client, Server etc) auszunutzen ist, ist fraglich.
Siehe Gustavs Beitrag, HP hat offensichtlich seine Software Supply Chain nicht im Griff.
„HP hat also 10 Wochen lang gewartet, bevor die Sicherheitslücken veröffentlicht wurden."
Der Inhalt der Zip-Files ist von Mitte Oktober, also nochmal vier Wochen älter.
Es ist schade, dass Firmen in ihren kommerziellen Produkten, egal ob in Druckertreibern oder auch Appliances (Cisco, Juniper, und die anderen üblichen Verdächtigen) zwar Opensource-Libraries, -Programme und -Betriebssysteme nutzen, sich aber anschließend nie wieder um die verwendete Software zu kümmern scheinen, und ihre eigenen Produkte nicht gegen gefundene und längst reparierte Sicherheitslücken absichern.
Nur als Beispiel: die Sicherheitslücke in libpng ist seit 2019 gefixt:
"libpng versions 1.6.36 and earlier have a use-after-free bug in the simplified libpng API png_image_free(). It has been assigned ID CVE-2019-7317. The vulnerability is fixed in version 1.6.37, released on 15 April 2019. "
Aktuelle Version 1.6.45
Frage: heißt das, dass HP seit April 2019 wissentlich oder unwissentlich, auf jeden Fall aber fahrlässig, verwundbare Treiber ausgeliefert hat, wenn zum Beispiel die libpng-Lücke erst jetzt im neuesten Treiber geschlossen wird?
Dass HP Treiberupdates immer wieder für Bockmist verwendet wie Lahmlegen des Druckers, wenn keine Original-HP-Tonerkartuschen bzw. -Tintenpatronen verwendet werden, führt dann zusätzlich noch dazu, dass die Kunden gegenüber Updates misstrauisch werden und lieber beim alten und für sie funktionierenden Treiber bleiben, auch wenn sie auf den neueren Treiber hingewiesen werden.
Dank für den Hinweis, nutzt gezwungen den Treiber, da der "richtige", also kein Universal Dingsda unter W7 / W10 nicht funktioniert.
Unter XP lief der Farblaser wie ein geölter Blitz, mit dem tollen Universal Ding braucht der ewig bis Mal was passiert,
und mehrere identische Kopien behandelt der jeweils als Neu, und dauert, beim alten Treiber flogen die Drucke nur so aus dem Ausgabeschacht…
Ich habe einen HP Laserjet 4050 mit JetDirect-Karte (ja, er lebt noch …)
Der ist schon länger grottenlahm mit HP UPS, dank @Gunnar habe ich wohl nun die Erklärung.
So halb OT:
Frage in die Runde (wer mit HP und Linux arbeitet):
Sollte ich für Linux als Verbindung lieber HPLIP oder AppSocket/HP JetDirect verwenden? Erfahrungen dazu?