Vier Jahre langes Hin und Her zwischen Sicherheitsforscher und Vasion Print
Vasion Print war verwundbar. Die Kommunikation zu den SicherheitslĂĽcken ist aber nicht optimal gelaufen.
(Bild: Sashkin/Shutterstock.com)
Ein Sicherheitsforscher gibt an, bereits Ende 2021 83 Sicherheitslücken in der Druckerautomatisierungssoftware Vasion Print (ehemals PrinterLogic) an den Softwarehersteller gemeldet zu haben. Seitdem gab es ihm zufolge einen stetigen Kontakt, aber ob mittlerweile alle Sicherheitsprobleme gelöst sind, ist kaum durchschaubar.
Nun listen das Bundesamt fĂĽr Sicherheit in der Informationstechnik (BSI) und das National Institute of Standards and Technology (NIST) einige der Schwachstellen auf. Eine Antwort zur Anfrage von heise security an den Softwarehersteller zum Status quo der Sicherheitsprobleme steht noch aus.
Mittlerweile haben sich die Verantwortlichen mit einer Stellungnahme bei heise security gemeldet und versichern, dass alle Lücken geschlossen sind. Das ist aber nach wie vor im Sicherheitsportal der Vasion-Print-Website nur schwer ersichtlich. Die Kommunikation der Verantwortlichen mit dem Sicherheitsforscher war nicht optimal und auch die Kontaktaufnahme mit heise security zog sich über einen längeren Zeitraum und war missverständlich.
Update dieser Meldung mehrmals und zuletzt am 9. Oktober 2025 angepasst.
HintergrĂĽnde
In einem im April dieses Jahres veröffentlichten Beitrag führt der Sicherheitsforscher den zeitlichen Ablauf und detaillierte Informationen zu den Sicherheitslücken auf. Daraus geht unter anderem hervor, dass er den Softwarehersteller erstmals im November 2021 kontaktiert hat. Seitdem stand er eigenen Angaben zufolge bis Frühling 2025 im stetigen Kontakt, und man habe sich über die Sicherheitsprobleme ausgetauscht. Von den Softwareschwachstellen sind die Linux-, macOS- und Windows-Clients betroffen.
Wie aus dem Beitrag hervorgeht, wurden fĂĽr einige LĂĽcken noch keine CVE-Nummern vergeben. Bei anderen steht auch noch die Einstufung des Bedrohungsgrads aus. FĂĽr andere LĂĽcken sind wiederum ausfĂĽhrlichere Informationen vorhanden.
Alle Sicherheitsprobleme gelöst?
So können Angreifer unter Linux oder macOS an einer Schwachstelle (CVE-2025-34192 "kritisch") ansetzen und eine schon seit 2019 nicht mehr im Support befindliche Kryptografie-Komponente in Vasion Print Virtual Appliance Host ausnutzen, um TLS-Verbindungen zu schwächen. Dagegen sollen die Versionen ab 20.0.2140 und 22.0.893 gerüstet sein.
Durch das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2025-34193 "hoch") können sich Angreifer Systemrechte verschaffen. An dieser Stelle bleibt unklar, ob es bereits ein Sicherheitsupdate gibt. Aus dem Sicherheitsbereich der Vasion-Website zur SaaS-Version und zu Virtual Appliance Host ist nicht konkret ersichtlich, ob mittlerweile alle vom Sicherheitsforscher gemeldeten Lücken geschlossen wurden.
Mittlerweile hat Vasion uns einen weiteren Link geschickt. An dieser Stelle sind die geschlossenen SicherheitslĂĽcken besser nachvollziehbar.
Er gibt an, dass der Softwareanbieter im Zuge der Kommunikation manche Schwachstellen nicht als Gefahr anerkannt und die Lösungen dafür als Verbesserungsvorschlag und nicht als Sicherheitspatch an die Entwicklungsabteilung weitergegeben hat.
Videos by heise
Weil der Patchstatus aller vom Sicherheitsforscher genannten Probleme derzeit noch unklar ist, sollten Admins sicherstellen, dass sie die aktuelle Ausgabe installiert haben. Wenn Vasion sich mit einer Stellungnahme meldet, aktualisieren wir diese Meldung.
(des)
