CRITICAL🇬🇧 English

CVE-2025-34192

Vasion Print: przestarzała biblioteka OpenSSL 1.0.2h-fips (EOL od 2019)

CVSS 9.3v4.0pub. 2025-09-19upd. 2025-10-02

Vasion Print (dawniej PrinterLogic) w wersjach Virtual Appliance Host poniżej 22.0.893 oraz Application poniżej 20.0.2140 (macOS/Linux) jest zbudowany z użyciem biblioteki OpenSSL 1.0.2h-fips z maja 2016 roku, której wsparcie zakończono w 2019 roku. Stosowanie niezałatanej, przestarzałej biblioteki kryptograficznej znacząco osłabia poziom bezpieczeństwa wdrożeń.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) Virtual Appliance Host versions prior to 22.0.893 and Application versions prior to 20.0.2140 (macOS/Linux client deployments) are built against OpenSSL 1.0.2h-fips (released May 2016), which has been end-of-life since 2019 and is no longer supported by the OpenSSL project. Continued use of this outdated cryptographic library exposes deployments to known vulnerabilities that are no longer patched, weakening the overall security posture. Affected daemons may emit deprecation warnings and rely on cryptographic components with unresolved security flaws, potentially enabling attackers to exploit weaknesses in TLS/SSL processing or cryptographic operations. This vulnerability has been identified by the vendor as: V-2023-021 — Out-of-Date OpenSSL Library.

🤖 Analiza AI
Jak działa

Podatność wynika z użycia komponentu zewnętrznego (OpenSSL 1.0.2h-fips), który od 2019 roku nie otrzymuje żadnych aktualizacji bezpieczeństwa (CWE-1104 — użycie nieaktualizowanego komponentu zewnętrznego). Oprogramowanie Vasion Print kompiluje wbudowane demony z tą biblioteką, przez co znane luki w TLS/SSL oraz operacjach kryptograficznych pozostają trwale niezałatane. Dotknięte demony mogą emitować ostrzeżenia o deprecjacji i korzystają z komponentów kryptograficznych posiadających nierozwiązane słabości. Atakujący zdalnie, bez uwierzytelnienia, może próbować wykorzystać te słabości podczas przetwarzania ruchu TLS/SSL.

Skutki

Atakujący może potencjalnie wykorzystać znane luki w przestarzałej bibliotece OpenSSL do naruszenia poufności, integralności lub dostępności przetwarzanych danych — w tym danych przesyłanych szyfrowanym kanałem TLS/SSL.

Mitygacja

Należy zaktualizować Virtual Appliance Host do wersji 22.0.893 lub nowszej oraz Application do wersji 20.0.2140 lub nowszej. Szczegółowe informacje o dostępnych patchach dostępne są w biuletynach bezpieczeństwa producenta pod adresami wskazanymi w referencjach (identyfikator wewnętrzny podatności u producenta: V-2023-021).

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersjach poniżej 22.0.893 oraz Virtual Appliance Application w wersjach poniżej 20.0.2140 (wdrożenia klientów macOS/Linux).

Uwagi

Podatność zidentyfikowana wewnętrznie przez producenta jako V-2023-021 — Out-of-Date OpenSSL Library. Dotyczy biblioteki OpenSSL 1.0.2h-fips wydanej w maju 2016 roku, której wsparcie (End-of-Life) zakończyło się w 2019 roku.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Apple macOS

    OS
    Apple
    wszystkie wersje
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Vasion Virtual Appliance Application

    APP
    Vasion
    < 20.0.2140
  • Vasion Virtual Appliance Host

    APP
    Vasion
    < 22.0.893
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio