Vasion Print (dawniej PrinterLogic) w wersjach Virtual Appliance Host poniżej 22.0.893 oraz Application poniżej 20.0.2140 (macOS/Linux) jest zbudowany z użyciem biblioteki OpenSSL 1.0.2h-fips z maja 2016 roku, której wsparcie zakończono w 2019 roku. Stosowanie niezałatanej, przestarzałej biblioteki kryptograficznej znacząco osłabia poziom bezpieczeństwa wdrożeń.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) Virtual Appliance Host versions prior to 22.0.893 and Application versions prior to 20.0.2140 (macOS/Linux client deployments) are built against OpenSSL 1.0.2h-fips (released May 2016), which has been end-of-life since 2019 and is no longer supported by the OpenSSL project. Continued use of this outdated cryptographic library exposes deployments to known vulnerabilities that are no longer patched, weakening the overall security posture. Affected daemons may emit deprecation warnings and rely on cryptographic components with unresolved security flaws, potentially enabling attackers to exploit weaknesses in TLS/SSL processing or cryptographic operations. This vulnerability has been identified by the vendor as: V-2023-021 — Out-of-Date OpenSSL Library.
Podatność wynika z użycia komponentu zewnętrznego (OpenSSL 1.0.2h-fips), który od 2019 roku nie otrzymuje żadnych aktualizacji bezpieczeństwa (CWE-1104 — użycie nieaktualizowanego komponentu zewnętrznego). Oprogramowanie Vasion Print kompiluje wbudowane demony z tą biblioteką, przez co znane luki w TLS/SSL oraz operacjach kryptograficznych pozostają trwale niezałatane. Dotknięte demony mogą emitować ostrzeżenia o deprecjacji i korzystają z komponentów kryptograficznych posiadających nierozwiązane słabości. Atakujący zdalnie, bez uwierzytelnienia, może próbować wykorzystać te słabości podczas przetwarzania ruchu TLS/SSL.
Atakujący może potencjalnie wykorzystać znane luki w przestarzałej bibliotece OpenSSL do naruszenia poufności, integralności lub dostępności przetwarzanych danych — w tym danych przesyłanych szyfrowanym kanałem TLS/SSL.
Należy zaktualizować Virtual Appliance Host do wersji 22.0.893 lub nowszej oraz Application do wersji 20.0.2140 lub nowszej. Szczegółowe informacje o dostępnych patchach dostępne są w biuletynach bezpieczeństwa producenta pod adresami wskazanymi w referencjach (identyfikator wewnętrzny podatności u producenta: V-2023-021).
Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersjach poniżej 22.0.893 oraz Virtual Appliance Application w wersjach poniżej 20.0.2140 (wdrożenia klientów macOS/Linux).
Podatność zidentyfikowana wewnętrznie przez producenta jako V-2023-021 — Out-of-Date OpenSSL Library. Dotyczy biblioteki OpenSSL 1.0.2h-fips wydanej w maju 2016 roku, której wsparcie (End-of-Life) zakończyło się w 2019 roku.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XApple macOS
OSApplewszystkie wersjeLinux Kernel
OSLinuxwszystkie wersjeVasion Virtual Appliance Application
APPVasion< 20.0.2140Vasion Virtual Appliance Host
APPVasion< 22.0.893
Powiązane podatności
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach
Apple — memory corruption (RCE) w przetwarzaniu strumieni audio