Hallo Herr Hofmeister, Hallo Herr Vogtsburger, Sie scheinen das Problem immer noch nicht verstanden zu haben. Ich stelle keine Behauptungen zu bestehenden Sicherheitsücken auf, die ich beweisen müsste. Ich habe nur eine Sicherheitsfrage im Zusammenhang mit veralteter Software. Der Einsatz veralteter Software stellt immer ein POTENZIELLES Risiko dar. Dieser Aussage stimmen Sie zu, oder? Setzt also jemand veraltete Software (oder Komponenten) ein, sollte er sich sicher sein, dass daraus kein Risiko resultiert. Genau diese Frage habe ich DATEV im Hinblick auf den Einsatz von Crystal Reports 8.5 gestellt. Sie wollen Ross und Reiter wissen? Ein Beispiel: In der Version Crystal Reports 2008 SP3 Fix Pack 3.2 wurde eine Lücke im ActiveX control in PrintControl.dll gefunden, die es einem Angreifer erlaubt, Code auf fremden Rechnern auszuführen. (CVE-2010-2590 CVSS Score 10). Jetzt fragen Sie, was hat das mit Version 8.5 zu tun? Typischerweise wird eine neue Version einer Software nicht komplett neu entwickelt, sondern enthält einen grossen Teil unverändertem Code der Vorgängerversion. Wird nun in der aktuellen Produkt-Version eine Sicherheitslücke gefunden, kann das in dem neuen Teil des Produkts sein oder im alten. Ist die Sicherheitslücke im aus der Vorgängerversion übernommenen Teil, so hat die Vorgängerversion im Normalfall die gleiche Sicherheitslücke. Sind beide Versionen noch in der Wartung, informiert der Hersteller und stellt entsprechende Updates bereit. Ist die Vorgängerversion aber nicht mehr in der Wartung, informiert der Hersteller weder über die Lücke in der alten Version noch stellt er ein Update bereit. Konkret im Jahr 2010 informierte SAP nicht mehr darüber, ob die entdeckte Sicherheitslücke CVE-2010-2590 auch in der Version 8.5 enthalten ist. Das ActiveX selbst war in der 8.5 auch schon vorhanden. Hat also schon die Version 8.5 die Lücke, die erst 2010 entdeckt wurde? Wer kann diese Frage beantworten? SAP tut es nicht mehr. Da DATEV die alte Version ausliefert, sehe ich DATEV auch in der Pflicht diese Frage zu beantworten. Das Sicherheitslücken erst viele Jahre später entdeckt werden, zeigt gerade ein aktueller Fall. Ich verdeutliche das Problem mal an einem anderen Beispiel. Sie mieten von Ihrem Provider einen Router, der als Feature auch einen VPN-Server integriert. Dieser basiert auf dem OpenSource-Produkt OpenVPN. Die Entwickler bringen nun eine neue Version heraus und nehmen die alte (die auf Ihrem Router) aus der Wartung. Ihr Provider reagiert aber nicht und bleibt bei der alten Version. Kurze Zeit später wird in der neuen OpenVPN-Version eine Sicherheitslücke entdeckt und dann in der aktuellen Version behoben. Ihr Router hat aber immer noch die alte Version, von der niemand weiss, ob sie auch angreifbar ist. Würden Sie sorglos weiter die alte Version verwenden oder würden Sie vielleicht ihren Provider auffordern, den Route endlich abzudaten bzw. von ihm die Bestätigung verlangen, das der VPN-Tunnel bei Ihrem Route noch sicher ist? Ich würde zweiteres tun und warte daher immer noch auf eine Aussage seitens DATEV. P.S. Ob und welches Pseudonym man verwendet, sollte hier keine Rolle spielen. Bitte haben Sie Verständnis, das ich mich und meinen Arbeitgeber hier durch die Anonymität schützen muss. An anderer Stelle hat die offene Kommunikation über Sicherheitsthemen schon zu direkten Repressalien geführt. (Nicht DATEV, die sind hier erfrischend offen, danke dafür) Euer NetHunter
... Mehr anzeigen