Registrieren    Anmelden    Forum    Suche    FAQ
Hier können Sie Ihre Fragen und Anregungen zum Umgang mit der Software austauschen.
v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung
ingo2
Beiträge: 27
Registriert: 25.11.2015, 20:41

v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon ingo2 » 11.11.2017, 12:02

Betriebssystem: Linux
Versionsnummer: 6.3.1
Handelspartner: Fotobuch Ungebrandet


Beschreibung:

Ich teste gerade Fotobuch 6.3.1 unter Linux (Debian-Stretch).
Der Fehler von v6.2.4 mit Einfrieren scheint behoben, warum steht das nicht in den Änderungen (changelog)? Bloß mit der Netzwerkverbindung - wahrscheinlich das alte Sicherheitsproblem mit SSLv3? besteht wohl immer noch:

Wenn ich versuche, ein Fotobuch (erstellt mit v6.2.1 zu öffnen erscheint zunächst ein Pop-Up mit:
Code:
Es fehlen Cliparts, Hintergründe, Masken, Rahmen oder Designs.
Wenn ich die dann, wie angeboten, nachladen will, kommt die Meldung "Keine Netzwerkverbidung vorhanden". Das ist natürlich Unsinn, denn eine Netzwerkverbindung besteht sehr wohl, s. Screenshot:

Und selbst die FB-eigene Prüfeung bestätigt das, s. nächster Screenshot:

So, wie komme ich jetzt zu den fehlenden Objekten ???
Hat v6.3.1 das SSLv3-Problem nur kaschiert statt gefixt und stolpert jetzt selbst darüber???

Gruß, Ingo


Vorgehensweise:

Laden eines mit FB v6.2.1 erstellten Fotobuchs


Systembeschreibung:

Debian-Stretch, Standard-Installation
Dateianhänge
CEWE-1.png
es gibt ehr wohhl netzwerkverbindung
CEWE-2.png
Die FB-Software widerspricht sich selbst
ingo2
Beiträge: 27
Registriert: 25.11.2015, 20:41

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon ingo2 » 11.11.2017, 17:59

Es funktioniert überhaupt nicht, weitere Cliparts oder Hintergründe herunterzuladen - nur ein leeres Fenster.

Wenn ich dagegen das unsichere SSLv3 mit Gewalt aktiviere, klappt es. Die Sicherheitslücke, die schon in v6.2.4 vorhanden war, ist nach wie vor nicht beseitigt. Details s. dieser Thread:
https://www.cewe-community.com/forum/vi ... 88#p115438
Nur friert jetzt FB nicht mehr ein. Dafür werden Linux-User wieder gezwungen, in ihren Systemen Sicherheitslöcher aufzureißen oder auf wesentliche Funktionen - insbesonders das öffnen älterer Fotobücher - zu verzichten.

Wann schafft es CEWE endlich, ihre Server und/oder die Software sicherheitstechnisch auf dem Stand der Technik zu halten und den Empfehlungen des BSI gemäß Richtlinie BSI TR-02102-2 zu folgen (https://www.bsi.de/) zu folgen?
Dort heißt es ausdrücklich:
> SSL v2 ([SSLv2]) und SSL v3 ([SSLv3]) werden nicht empfohlen (siehe auch [RFC6176]).
Benutzeravatar Offline
Sylke

15000 Beiträge
Beiträge: 15442
Registriert: 21.11.2006, 08:59
Gliedstaat: Niedersachsen
Kontaktdaten:

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon Sylke » 14.11.2017, 13:15

Hallo Ingo2,

ich habe mich soeben mit den Kollegen zum Thema ausgetauscht. Wir arbeiten derzeit an einer Lösung. Sobald ich nähere Angaben dazu machen kann, u.a. wann wir die Lösungsversion bereitstellen können, melde ich mich. Bitte haben Sie etwas Geduld.
Liebe Grüße
Sylke
ingo2
Beiträge: 27
Registriert: 25.11.2015, 20:41

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon ingo2 » 16.11.2017, 18:44

in zahlreichen Versuchen habe ich weiter nach der Ursache gesucht und
einen provisorischen, aber zumindest akzeptablen, Workaround gefunden:

Die Fotobuch-Software benutzt unter Linux eine veraltete und auch unsichere Version von
"openssl", nämlich v1.0.0. Die wird seit December 31, 2016 nicht mehr gepflegt!!
(s. auch Wikipedia: https://en.wikipedia.org/wiki/OpenSSL).


Die aktuellen Versionen lauten jedoch 1.0.2 und 1.1.0 und deshalb werden
die installierten Versionen (Debian-Stretch kommt mit 1.0.2 und 1.1.0)
nicht gefunden und auch nicht genutzt. Deshalb funktioniert bei FB 6.2.4
der Start der Anwendung überhaupt nicht und bei FB 6.3.1 das Nachladen
von Zusatzpaketen nicht.

Als Übergangslösung kann man sich behelfen mit 3 SymLinks:

cd /usr/lib/x86_64-linux-gnu/
ln -s openssl-1.0.2 openssl-1.0.0
ln -s libssl.so.1.0.2 libssl.so.1.0.0
ln -s libcrypto.so.1.0.2 libcrypto.so.1.0.0

Somit werden zumindest die aktuellen Bibliotheken benutzt, ohne das
System mit der veralteten Version v1.0.0 unsicher zu machen. SSLv3 ist
also zumindest nicht die Ursache.

Dies ist aber wirklich nur ein Notbehelf und nicht die Lösung. Dazu sind
root-Rechte erforderlich. Ihre Software solle, um aktuell zu sein, auch
die aktuellen Version 1.1.0 voraussetzen und nutzen.

P.S.: Das hilft eventuell auch bei aktuellen Ubuntu-Versionen - die ja auf Debian basieren
ingo2
Beiträge: 27
Registriert: 25.11.2015, 20:41

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon ingo2 » 17.11.2017, 19:55

Update:

habe inzwischen eine Mail vom "second level (technischen) Support" bekommen. Darin heißt es:
hat geschrieben:
Der Client handelt im Bestellprozess das Sicherheitsprotokoll aus. Begonnen wird leider mit SSL und TLS folgt. Es wird überlegt, die Reihenfolge so zu ändern, dass TLS 1.2 zu Beginn geprüft wird.
Es ist also noch nicht mal sicher, dass alle Funktionen mit meinem oben beschriebenen Workaround funktionieren. Ich habe ja nicht alles bis zum Ende durchgetestet, wo es dann zum Schluß ums Bestellen und Bezahlen geht.

Dafür benötigen sie aber etwas Zeit - ok. Bis dahin möge man doch bitte die ältere Version 6.2.1 benutzen.
Ich hoffe nur, daß das auch ernst gemeint ist und Realität wird.

Ingo
steffens
Beiträge: 15
Registriert: 02.12.2011, 13:00

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon steffens » 01.05.2018, 21:06

Das Problem besteht in der aktuellen Version 6.3.3 immer noch.

Mit einem aktuellen Debian stable funktioniert die Netzwerkverbindung nicht.
Das betrifft nicht nur das Nachladen von Cliparts, sondern es ist auch keine Bestellung möglich!
Man erhält nur den ominösen Fehlercode 1000.

Das Setzen der symbolischen Links (wie von Ingo beschrieben) funktioniert, aber welcher normale Anwender/Kunde kommt da von sich aus drauf?
CEWE sollte hier dringend überprüfen, wo hier die uralte SSL-Version verwendet wird und gegen eine aktuellere (mind. gegen die libssl1.0.2, die in Debian noch enthalten ist) bauen.

Steffen
Benutzeravatar Offline
Sylke

15000 Beiträge
Beiträge: 15442
Registriert: 21.11.2006, 08:59
Gliedstaat: Niedersachsen
Kontaktdaten:

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon Sylke » 02.05.2018, 18:35

Hallo steffens,

mit Debian haben wir leider das Problem, dass wichtige Funktionen in OpenSSL nicht mehr zur Verfügung gestellt werden. Diese werden von unserer Anwendung gebraucht, um eine verschlüsselte Verbindung zu unseren Servern aufbauen zu können. Diese Bibliotheken können aus dem Internet heruntergeladen und ins Programmverzeichnis kopiert werden.

Diese Thematik ist unserer Entwicklung bekannt. Gerne informiere ich über weitere Optimierungen und Entwicklungen, sobald diese vorliegen.
Liebe Grüße
Sylke

Wer ist online?

Mitglieder in diesem Forum: Google [Bot] und 10 Gäste

cron