Einträge von ritta

PAPAGENO ​Sicherheitshinweise 09.2018

  • Am 21. August 2018 wurden mehrere Sicherheitslücken in Ghostscript bekannt, die zur Ausführung von Schadcode führen können.                                                                     ​

Einer dieser Fehler betrifft manipulierte Postscript-Dokumente, die versendet werden sollen.

Das PAPAGENO-Kommando faxps selbst enthält diese Sicherheitslücke nicht. Ihre Installation ist jedoch betroffen, wenn Sie im SMTP-Gateway oder in SAPconnect die Wandlung von PDF-Dateien konfiguriert haben. Sprich, der Angriff wird ausgeführt sobald eine korrumpierte PDF- bzw. PostScript-Datei als Sendeauftrag per SMTP verschickt wird.

In diesem Fall finden Sie in FAXROOT/etc eine Datei gs_pdftif (Linux, Unix) oder gs_pdftif.bat (Windows). Fügen Sie dort im Aufruf von Ghostscript die Option –dSAFER ein. Die Zeile sollte anschließend wir folgt lauten:

Unter Linux und Unix
gs -sDEVICE=tiffg4 -sOutputFile=$2 –dSAFER -dFIXEDMEDIA -dPSFitPage -dNOPAUSE -dBATCH $1
Unter Windows
"C:\Programme\gs\gs9.24\bin\gswin64c.exe" -sDEVICE=tiffg4 -sOutputFile=%2 –dSAFER -dFIXEDMEDIA -dPSFitPage -dNOPAUSE -dBATCH %1

(Bitte passen Sie den Pfad entsprechend Ihrer Installation an.)

Wenn Sie html2tif/html2tif.cmd verwenden, ist dort ebenfalls ein Aufruf von gs enthalten. Dieser muss analog geändert werden, die Zeilen sollten anschließen wie folgt lauten:

Unter Linux und Unix
gs -sDEVICE=tiffg4 -sOutputFile=$2 -dSAFER -dNOPAUSE -dBATCH preproc.pdf
Unter Windows
"C:\Program Files\gs\gs9.24\bin\gswin64c.exe" -sDEVICE=tiffg4 -sOutputFile=%2 -dSAFER -dNOPAUSE -dBATCH preproc.pdf

Die Option -dSAFER sollten Sie immer setzen, selbst wenn Sie Ghostscript im Moment nicht aktualisieren (können).

Herstellerseitig
Die Firma Artifex hat für Windows bereits die Version 9.24 veröffentlich (www.ghostscript.com), in der diese Sicherheitslücke behoben ist. Bitte installieren Sie unbedingt diese Version und verwenden Sie diese.
Linux: Sobald Ihre Distribution diese Version anbietet, aktualisieren Sie Ghostscript.
Alternativ können Sie den Sourcecode herunterladen, compilieren und selbst installieren.

  • Am 21. August 2018 wurde ein Angriff per Fax auf HP-Multifunktionsdrucker bekannt, mit dem Hacker in Firmennetzwerke eindringen können.

Dieser Fehler betrifft manipulierte Faxeingangsdaten beim Empfang von Faxen im JPG-Format. PAPAGENO ist hiervon nicht betroffen. Der Angriff nutzt aus, dass HP-Drucker farbige Faxe empfangen können, die als .jpg abgelegt werden. Dabei prüft das Gerät nicht, ob der Inhalt ein gültiges JPG-File ist. Dieses Detail wird genutzt, um hier den Schadcode unterzubringen, das File enthält außer den JPG-Daten zusätzlichen Code. Der Empfang selbst ist noch nicht das Problem. Erst beim Drucken des manipulierten JPG-Files wird die Attacke wirksam.

​Da die PAPAGENO-Leitungstreiber den Empfang von JPG-Dokumenten nicht zulassen, ist dieser Angriff auf PAPAGENO unmöglich. Unsere Faxtreiber empfangen über das ITU Protokoll T.30 ausschließlich nach T.3 codierte Faxdokumente. Diese werden sofort in unser internes Bitmap-Format konvertiert und im PAPAGENO-Server zur Weiterverarbeitung zwischengespeichert. Ungültige Faxinhalte führen dabei sofort zu Fehlern, die Inhalte werden nicht automatisch weiterverarbeitet. Somit können wir diesen Angriff über .jpg bei PAPAGENO mit Sicherheit ausschließen.

München 09.2018

PAPAGENO 6.0 ist freigegeben

Neuerungen in PAPAGENO Version 6.0.4.5

SSL für LDAP und SMTP

SMTP-Protokoll
Für ausgehende SMTP-Verbindungen ist die Kommunikation über SSL und startTLS möglich. Auch mit Authentifizierung über Benutzernamen und Passwort.
Die Verfahren LOGIN, PLAIN und CRAM-MD5 werden unterstützt.
Neues Testprogramm (sgrestest –S) für SMTP Kommunikation zum Mailserver.

Neue Konfigurationsvariablen:
SG_SMTYPE=smtp (default Port 25), smtps (465) or starttls (587)
SG_SMCERT=/path/to/cacert-file (for ssl/tls)
SG_SMUSER=used for authentication and authorization, if requested
SG_SMPWD=password for authentication

LDAP-Protokoll

Unterstützung von ldaps und startTLS in SMTP-Gateway und gendrv für die Verzeichnis-Abfrage.

Neue Konfigurationsvariablen:
SG_LDTYPE=ldap (default), ldaps oder startTLS
SG_LDCERT=/path/to/cacert-file
Der Default-Port wird für ldaps auf 636 gesetzt, sonst auf 389

Neuer Treiber für SMS

gendrv/smppdrv zum Versand von SMS über SMPP-Protokoll.
$FAXROOT/etc/inst_smppdrv.py zum Einrichten des Treibers

Sonstige Neuerungen
gendrv/capidrv

Wenn der capi Manufacturer TE-SYSTEMS erkannt wird (XCAPI) und der Zusatzparameter lca gesetzt ist, z. B. lca=“4989″(Landescode und nationale Vorwahl), werden beim Senden Absender- und Empfängernummer in das internationale Format mit ‚+‘ gewandelt, z. B. +4989…

Fix: Wenn lca gegeben ist und die Absendernummer leer ist, bleibt sie leer.

gdrestest

gdrestest hat neuen Schalter -c (continuous), mit dem zeitlich gestreckt Tests durchgeführt werden können.

gendrv

gendrv liest GD_LDTYPE, GD_LDCERT oder die entsprechenden SG_ Variablen.

Fehlerbehebung

COMFAXRPCMAP und COMFAXRPCPORT gefixt.

Fix für gendrv, der mit mehreren LDAP-Server Kontakt aufnimmt.

PAPAGENO Adminstrator

(lief auf einigen Windows-Systemen ohne Symbole und stürzte ab)

Ersatz der VisualBasic5-Komponenten durch VB6-Komponenten, d. h. comctl32.ocx und comct232.ocx ersetzt durch mscomctl.ocx mscomct2.ocx, ebenso die gleichnamigen DLLs. Damit sind Darstellungsprobleme, häufig im Zusammenhang mit Remot eDesktop, behoben.

09/2019

Version 6.0.2.9

Neuer PAPAGENO-Server PHIB

Durch diesen Server können Sie auf die PAPAGENO-Kommandos über das HTTP-Protokoll zugreifen.

Voraussetzung für den Betrieb des PHIB-Servers ist die Installation der Python-Laufzeitumgebung.
Der LAMBDA-Server startet ihn automatisch, wenn er installiert wurde.

Default Port: 8888

Die erforderliche Laufzeitumgebung ist im optional zu installierenden Paket, bestehend aus PAPAGENO Fax-Server und Python 2.7, für Windows oder Linux enthalten.

smscollect

Mit dem neuen PHIB-Server steht der neue Daemon smscollect (muss mit installiert werden!) zur Verfügung, der mehrteilige SMS zusammenfügt. Er wertet die OMEGA-Konfigurationsvariable GD_SMSUSER aus und verarbeitet die Dokumente dieses ALPHA-Users (siehe gendrv 5.7.0.0).

LAMBDA-Server

Es werden keine procmon-Prozesse mehr gestartet; der LAMBDA-Server überwacht seine Child-Prozesse selbst.

Sandbox (nur auf Linux-Systemen)

Auch der PI-Server, die SAP-Gateways und alle Daemon-Prozesse werden in der Sandbox gestartet.

Prozesse, die in trusted.list eingetragen sind, werden außerhalb der Sandbox gestartet (z. B. xmlpostman).

Daemon

Beim Starten von Daemon-Prozessen wird nach DM_LCMD, DM_LCMD0, DM_LCMD1, … gesucht, bis die Reihe abbricht, letzter möglicher Parameter ist DM_LCMD99.

Ist DM_LCMD vorhanden, wird der hier definierte Prozess gestartet. Ein ‚\‘ am Ende der Zeile wirkt als Fortsetzungszeichen, sonst wird jeder weitere Config-Parameter mit einem Leerzeichen angefügt und wirkt als Prozessargument.

PI-Server

Unter Windows konnten nicht alle Treiber für alle Druckertypen angesteuert werden. In V 6.0 wird das Programm Uncompress mitgeliefert, damit sind alle Drucker auch auf Windows nutzbar.

gendrv

Die LDAP-Abfrage, ob eine Durchwahlnummer vergeben ist, wird jetzt auch ohne Sprache und Dialog durchgeführt. Wenn die GD_…-Parameter geändert werden, muss der Treiber neu gestartet werden.

Release Notes …