Noch ein Nachtrag in Sachen Sicherheit. Anfang Juli 2024 gab es in der openwall-Mailing-Liste Hinweise zu Schwachstellen im GhostScript-Interpreter (vor Version 10.03.1). Zudem haben die Sicherheitsforscher um Thomas Rinsma einen Blog-Beitrag zur Schwachstelle CVE-2024-29510 berichtet, dass diese angegriffen wird. Inzwischen sollten aber die meisten Linux-Distributionen und Software-Pakete, die Ghostscript (z.B. zur PDF-Anzeige) verwenden. Aktualisiert worden sein. Danke an den Leser, der mich bereits vor einigen Tagen mit der Anmerkung „z.B. versteckt sich Ghostscript oft in jeder Menge Software die PDFs erstellt. Und zwar so, dass man es nicht mehr erkennen kann. Wer Glück hat, kann 1:1 die BINs und LIBs von dem neuen Release ersetzen und hat wieder Zeit gewonnen bis die nächste CVE bei Ghostscript entdeckt wird.“ auf diesen Artikel bei heise hingewiesen hat.
Suchen
Blogs auf Borncity
Spenden
Den Blog durch Spenden unterstützen.
Links
Seiten
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 2020Blogroll
Websites
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Bernd B. bei Outlook Classic: Wieder Zwangs-Update auf New Outlook-App
- Bernd B. bei Outlook Classic: Wieder Zwangs-Update auf New Outlook-App
- red++ bei Option zur Umstellung von Outlook neu zu Outlook klassisch kaputt
- Peter bei Option zur Umstellung von Outlook neu zu Outlook klassisch kaputt
- Ottilius bei Option zur Umstellung von Outlook neu zu Outlook klassisch kaputt
- Marcel bei Android von installierten (Tracking-)Diensten wie SafetyCore befreien
- Günter Born bei Schwachstelle Ursache für Exchange Online- und MS 365-Probleme seit 1. März 2025?
- ichbins bei Windows 11: März 2025-Updates verursachen Probleme mit RDP-Verbindungen
- SouthwestGerman bei Android von installierten (Tracking-)Diensten wie SafetyCore befreien
- Anonymous Coward bei Kurzinfo: Spam, angeblich von borncity.com – Missbrauch von IP 95.211.93.115
- CG bei Schwachstelle Ursache für Exchange Online- und MS 365-Probleme seit 1. März 2025?
- CG bei Schwachstelle Ursache für Exchange Online- und MS 365-Probleme seit 1. März 2025?
- Luzifer bei Option zur Umstellung von Outlook neu zu Outlook klassisch kaputt
- Uwe bei Windows 10: Feb. 2025-Update KB5051974 verursacht Startmenü-Probleme
- Gast bei Android von installierten (Tracking-)Diensten wie SafetyCore befreien
>>> Inzwischen sollten aber die meisten Linux-Distributionen und Software-Pakete, die Ghostscript (z.B. zur PDF-Anzeige) verwenden.<<<
Halte ich für Wunschdenken. 15 Monate nach Entdeckung der Log4Shell-Lücke war auf heise online zu lesen (1), dass immer noch 34 Prozent der täglichen Downloads von Log4j Versionen seien, die für die Sicherheitslücke CVE-2021-44228 anfällig sind. Parallelen halte ich für jederzeit denkbar, gerade unter Windows!
(1) https://www.heise.de/meinung/Log4Shell-Open-Source-als-Gefahr-fuer-die-Software-Lieferkette-7606506.html
Oh ja, die Softwarehersteller die Ghostscript einsetzen hängen teils Jahre hinterher. Bestes Beispiel ist die Deutsche Post mit Ihrer E-Post Business Box.
Richtet sich ja, wie der Name schon sagt, an Geschäftskunden und da freut man sich immer wenn über 3 Jahre alte Librarys zum Einsatz kommen.
Einfach austausch bzw. andere Version installieren ist auch nicht, da geht die E-Post nämlich nicht mehr.
Im epost mailer wurde das vor ein paar Versionen behoben. Ursache war das sie nicht auf die Major Release Nummer geprüft haben. Nerv mal deinen Vertrieblichen Ansprechpartner. Den Support kann man ja nicht vernünftig kontaktieren.
Ja, die Updatewilligkeit ist schon erschreckend niedrig.
Stand heute sind z.B. mehrere tausend Exchange-Instanzen in Deutschland auf dem Patchstand von 2022!
Bei Windows Server sieht es ähnlich erschreckend aus.
Und wir sind da nicht alleine.
In Frankreich sieht es ähnlich erschreckend aus.
Da muß man sich über die häufigen erfolgreichen Hackversuche nicht wundern.
Und das, was man so öffentlich mitbekommt, wird nur die Spitze des Eisbergs sein.
Naja, hab die Tage Thunderbird 11 (Patchstand 2012!) im Produktivgebrauch gesehen – wie auch immer so etwas auf einen Windows 10 PC kommt ;) Und Officepakete irgendwas vor 2010, jedenfalls können die noch kein DOCX, nur DOC. Da passt die 2008er Server-VM mit mehr oder weniger Internetzugang (Hardwarefirewall gar nicht erst vorhanden) gut dazu…
Wobei Server 2008 noch bis Oktober Sicherheitsupdates über das ESU-Programm bekommt.
Aber da sollte man schon dringend einen Ersatz anstoßen.
DOCX gibt es seit Office 2007, muß also Office 2003 oder älter sein.
Es gibt sogar ein Kompatibilitätspaket von Microsoft.
Damit kann Office 2000 bis 2003 auch die X-Formate ab Office 2007 lesen und schreiben.
Und was die Usability angeht, da schlägt ein altes Office 2003 oder älter ein Office 2007 oder neuer deutlich.
Der Ribbon-Kram ist nur Krampf.
„Wobei Server 2008 noch bis Oktober Sicherheitsupdates über das ESU-Programm bekommt.“
Ist hier aber ziemlich sicher nicht der Fall. Da dürfte seit dem EOL nichts mehr passiert sein. Bin mal gespannt, was ich noch so finde… Nicht die optimalen Voraussetzungen für einen Dienstleister, dessen Auftraggeber und Schwesterfirmen unter NIS2 fallen ;)
Naja, sehen wir es positiv: Hier kann man zumindest etwas verbessern.
Ich kann die Aufzählung vielleicht toppen:
Vor ca. 3 Jahren habe ich einen Windows NT4 Rechner aus einer Produktionsanlage entsorgt, die ans Netz gehen sollte.
https://blog.jakobs.systems/blog/20211121-industrie-nt-4/
Das Problem sind nicht vergammelte Versionen von etwas. Das Problem ist, dass diese Systeme nicht hinreichend isoliert sind.
Als Faustregel gilt: Sich die Produktlebenszyklen der IT Branche nicht aufzwingen lassen. Eine Software wird nicht alt, sie wird ausgereifter und besser, sofern der Hersteller diese nicht weiterhin pflegen und supporten will.
>>> Eine Software wird nicht alt, sie wird ausgereifter und besser, sofern der Hersteller diese nicht weiterhin pflegen und supporten will. <<<
Ziemlich wirr, das verstehe wer will. Wie soll etwas besser werden wenn es nicht mehr gepflegt wird?
Und die Empfehlung "Sich die Produktlebenszyklen der IT Branche nicht aufzwingen lassen." könnte aus einem Kampfblättchen der grün-alternativen Jugend stammen.
Eben schon unter einem anderen Post geschrieben:
UBitMenu holt das alte Menü zurück in allen Versionen seit 2007 (ja, auch Office 365).
Ist für privat kostenlos und für Firmen kostet es € 10 Basislizenz + € 0.65 pro Benutzer + ggf. MWSt.
PaperCut verwendet auf Windows eine abgewandelte Version von GhostScript – GhostTrap. läuft in einer Sandbox und soll sicherer sein. Bin auch nur durch eine Warnung über unser Vulnerability tool darauf gestoßen. Ev. auch für andere Programme nutzbar.
https://www.papercut.com/help/manuals/mobility-print/how-it-works/ghost-trap-script/
https://www.papercut.com/kb/Main/GhostScriptVulnerabilities/
https://github.com/PaperCutSoftware/GhostTrap
Der Elefant im Raum sind die zahlreichen „Branchenlösungen“, aus freien Projekten meist handwerklich mies zusammen geklöppelte Software, wo Softwarehersteller durch die Bank ein Geheimnis daraus machen, wie sie etwas gemacht haben. Selbst DB Kennwörter werden meist unfreiwillig weitergegeben. Teils sind die Libs sogar am System vorbei statisch verlinkt, damit alles funktioniert und es weniger Supportfälle gibt.
Diese Frickelbuden weden never ever irgendwas unter der Haube updaten.
Und gerade bei der Branchensoftware hat man oft wenig Auswahl. Die meiste andere Software kann man noch irgendwie mehr oder weniger gut ersetzen oder es gibt regelmäßig Updates – bei Branchensoftware bleibst du oft auf dem einmal festgelegten Stand hängen. Und dafür braucht man dann eben auch noch eine VM mit Windows Server 2008, die natürlich auch zwingend Internet braucht…
Der PDF-Creator benutzt auch GS und wird ganz sicher häufig eingesetzt, zumal er flexibler ist als der PDF-Printer von MS, der als Drucker bereits vorinstalliert ist.