Sicherheitsforscher warnt vor Lücken in Vasion Print: BSI und NIST greifen ein

Ein Sicherheitsforscher hat im April dieses Jahres detailliert über einen Fall berichtet, der die Sicherheit der Druckerautomatisierungssoftware des Herstellers Vasion Print (früher als PrinterLogic bekannt) betrifft. Ende 2021 meldete er dem Softwarehersteller laut seinen Angaben 83 Sicherheitslücken in der Software, mit denen er seitdem im stetigen Kontakt steht, bis ins Frühjahr 2025. In diesem Zeitraum wurden die von ihm gefundenen Schwachstellen diskutiert und ausgetauscht, doch ob alle Probleme tatsächlich behoben wurden, blieb für Außenstehende kaum transparent. Nun lenken sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch das National Institute of Standards and Technology (NIST) die Aufmerksamkeit auf einige dieser Schwachstellen durch öffentliche Auflistungen. Eine Nachfrage an den Softwarehersteller zum aktuellen Stand der Sicherheitslücken und deren Lösungen blieb jedoch bisher ohne Antwort.

Der Sicherheitsforscher detaillierte in einem im April veröffentlichten Beitrag den Ablauf des Falls und beschrieb die einzelnen Schwachstellen. Erwähnenswert ist, dass einige Lücken noch keine CVE-Nummern erhalten haben und für andere die Einstufung des Bedrohungsgrads fehlt. Besonders betroffen sind Linux-, macOS- und Windows-Clients. Beispielsweise ermöglicht eine Schwachstelle (CVE-2025-34192) unter Linux oder macOS Angreifern, eine seit 2019 nicht mehr unterstützte Kryptografie-Komponente in Vasion Print Virtual Appliance Host auszunutzen, um TLS-Verbindungen zu schwächen. Ob bereits ein Sicherheitsupdate für diese Schwachstelle existiert, bleibt jedoch unklar. Auch auf der Vasion-Sicherheitsseite zum SaaS-Bereich und Virtual Appliance Host fehlt eine konkrete Aussage zur Behebung aller vom Sicherheitsforscher gemeldeten Lücken.

Interessanterweise berichtet der Sicherheitsforscher, dass der Softwarehersteller in den Gesprächen manche Schwachstellen nicht als ernstzunehmende Bedrohung anerkannt habe und die Lösungsvorschläge lediglich als Verbesserungsvorschläge an die Entwicklung weitergeleitet habe, anstatt diese als eigentliche Sicherheitspatches zu behandeln. Aufgrund der noch fehlenden Klarheit bezüglich des Patch-Status aller gemeldeten Probleme sollten Administratoren ihre Systeme auf die aktuellste Version von Vasion Print aktualisieren. Sollte sich Vasion mit einer Stellungnahme melden, wird diese Information in die Berichterstattung eingebunden.

Schlagwörter: Vasion Print + PrinterLogic + BSI

Wie bewerten Sie den Schreibstil des Artikels?