PAPAGENO ​Sicherheitshinweise 09.2018

  • Am 21. August 2018 wurden mehrere Sicherheitslücken in Ghostscript bekannt, die zur Ausführung von Schadcode führen können.                                                                     ​

Einer dieser Fehler betrifft manipulierte Postscript-Dokumente, die versendet werden sollen.

Das PAPAGENO-Kommando faxps selbst enthält diese Sicherheitslücke nicht. Ihre Installation ist jedoch betroffen, wenn Sie im SMTP-Gateway oder in SAPconnect die Wandlung von PDF-Dateien konfiguriert haben. Sprich, der Angriff wird ausgeführt sobald eine korrumpierte PDF- bzw. PostScript-Datei als Sendeauftrag per SMTP verschickt wird.

In diesem Fall finden Sie in FAXROOT/etc eine Datei gs_pdftif (Linux, Unix) oder gs_pdftif.bat (Windows). Fügen Sie dort im Aufruf von Ghostscript die Option –dSAFER ein. Die Zeile sollte anschließend wir folgt lauten:

Unter Linux und Unix
gs -sDEVICE=tiffg4 -sOutputFile=$2 –dSAFER -dFIXEDMEDIA -dPSFitPage -dNOPAUSE -dBATCH $1
Unter Windows
"C:\Programme\gs\gs9.24\bin\gswin64c.exe" -sDEVICE=tiffg4 -sOutputFile=%2 –dSAFER -dFIXEDMEDIA -dPSFitPage -dNOPAUSE -dBATCH %1

(Bitte passen Sie den Pfad entsprechend Ihrer Installation an.)

Wenn Sie html2tif/html2tif.cmd verwenden, ist dort ebenfalls ein Aufruf von gs enthalten. Dieser muss analog geändert werden, die Zeilen sollten anschließen wie folgt lauten:

Unter Linux und Unix
gs -sDEVICE=tiffg4 -sOutputFile=$2 -dSAFER -dNOPAUSE -dBATCH preproc.pdf
Unter Windows
"C:\Program Files\gs\gs9.24\bin\gswin64c.exe" -sDEVICE=tiffg4 -sOutputFile=%2 -dSAFER -dNOPAUSE -dBATCH preproc.pdf

Die Option -dSAFER sollten Sie immer setzen, selbst wenn Sie Ghostscript im Moment nicht aktualisieren (können).

Herstellerseitig
Die Firma Artifex hat für Windows bereits die Version 9.24 veröffentlich (www.ghostscript.com), in der diese Sicherheitslücke behoben ist. Bitte installieren Sie unbedingt diese Version und verwenden Sie diese.
Linux: Sobald Ihre Distribution diese Version anbietet, aktualisieren Sie Ghostscript.
Alternativ können Sie den Sourcecode herunterladen, compilieren und selbst installieren.

  • Am 21. August 2018 wurde ein Angriff per Fax auf HP-Multifunktionsdrucker bekannt, mit dem Hacker in Firmennetzwerke eindringen können.

Dieser Fehler betrifft manipulierte Faxeingangsdaten beim Empfang von Faxen im JPG-Format. PAPAGENO ist hiervon nicht betroffen. Der Angriff nutzt aus, dass HP-Drucker farbige Faxe empfangen können, die als .jpg abgelegt werden. Dabei prüft das Gerät nicht, ob der Inhalt ein gültiges JPG-File ist. Dieses Detail wird genutzt, um hier den Schadcode unterzubringen, das File enthält außer den JPG-Daten zusätzlichen Code. Der Empfang selbst ist noch nicht das Problem. Erst beim Drucken des manipulierten JPG-Files wird die Attacke wirksam.

​Da die PAPAGENO-Leitungstreiber den Empfang von JPG-Dokumenten nicht zulassen, ist dieser Angriff auf PAPAGENO unmöglich. Unsere Faxtreiber empfangen über das ITU Protokoll T.30 ausschließlich nach T.3 codierte Faxdokumente. Diese werden sofort in unser internes Bitmap-Format konvertiert und im PAPAGENO-Server zur Weiterverarbeitung zwischengespeichert. Ungültige Faxinhalte führen dabei sofort zu Fehlern, die Inhalte werden nicht automatisch weiterverarbeitet. Somit können wir diesen Angriff über .jpg bei PAPAGENO mit Sicherheit ausschließen.


München 09.2018