Registrieren    Anmelden    Forum    Suche    FAQ
Hier können Sie Ihre Fragen und Anregungen zum Umgang mit der Software austauschen.
v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung
ingo2
Beiträge: 27
Registriert: 25.11.2015, 20:41

v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon ingo2 » 11.11.2017, 12:02

Betriebssystem: Linux
Versionsnummer: 6.3.1
Handelspartner: Fotobuch Ungebrandet


Beschreibung:

Ich teste gerade Fotobuch 6.3.1 unter Linux (Debian-Stretch).
Der Fehler von v6.2.4 mit Einfrieren scheint behoben, warum steht das nicht in den Änderungen (changelog)? Bloß mit der Netzwerkverbindung - wahrscheinlich das alte Sicherheitsproblem mit SSLv3? besteht wohl immer noch:

Wenn ich versuche, ein Fotobuch (erstellt mit v6.2.1 zu öffnen erscheint zunächst ein Pop-Up mit:
Code:
Es fehlen Cliparts, Hintergründe, Masken, Rahmen oder Designs.
Wenn ich die dann, wie angeboten, nachladen will, kommt die Meldung "Keine Netzwerkverbidung vorhanden". Das ist natürlich Unsinn, denn eine Netzwerkverbindung besteht sehr wohl, s. Screenshot:

Und selbst die FB-eigene Prüfeung bestätigt das, s. nächster Screenshot:

So, wie komme ich jetzt zu den fehlenden Objekten ???
Hat v6.3.1 das SSLv3-Problem nur kaschiert statt gefixt und stolpert jetzt selbst darüber???

Gruß, Ingo


Vorgehensweise:

Laden eines mit FB v6.2.1 erstellten Fotobuchs


Systembeschreibung:

Debian-Stretch, Standard-Installation
Dateianhänge
CEWE-1.png
es gibt ehr wohhl netzwerkverbindung
CEWE-2.png
Die FB-Software widerspricht sich selbst
ingo2
Beiträge: 27
Registriert: 25.11.2015, 20:41

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon ingo2 » 11.11.2017, 17:59

Es funktioniert überhaupt nicht, weitere Cliparts oder Hintergründe herunterzuladen - nur ein leeres Fenster.

Wenn ich dagegen das unsichere SSLv3 mit Gewalt aktiviere, klappt es. Die Sicherheitslücke, die schon in v6.2.4 vorhanden war, ist nach wie vor nicht beseitigt. Details s. dieser Thread:
https://www.cewe-community.com/forum/vi ... 88#p115438
Nur friert jetzt FB nicht mehr ein. Dafür werden Linux-User wieder gezwungen, in ihren Systemen Sicherheitslöcher aufzureißen oder auf wesentliche Funktionen - insbesonders das öffnen älterer Fotobücher - zu verzichten.

Wann schafft es CEWE endlich, ihre Server und/oder die Software sicherheitstechnisch auf dem Stand der Technik zu halten und den Empfehlungen des BSI gemäß Richtlinie BSI TR-02102-2 zu folgen (https://www.bsi.de/) zu folgen?
Dort heißt es ausdrücklich:
> SSL v2 ([SSLv2]) und SSL v3 ([SSLv3]) werden nicht empfohlen (siehe auch [RFC6176]).
Benutzeravatar Offline
Sylke

15000 Beiträge
Beiträge: 15877
Registriert: 21.11.2006, 08:59
Gliedstaat: Niedersachsen
Kontaktdaten:

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon Sylke » 14.11.2017, 13:15

Hallo Ingo2,

ich habe mich soeben mit den Kollegen zum Thema ausgetauscht. Wir arbeiten derzeit an einer Lösung. Sobald ich nähere Angaben dazu machen kann, u.a. wann wir die Lösungsversion bereitstellen können, melde ich mich. Bitte haben Sie etwas Geduld.
Liebe Grüße
Sylke
ingo2
Beiträge: 27
Registriert: 25.11.2015, 20:41

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon ingo2 » 16.11.2017, 18:44

in zahlreichen Versuchen habe ich weiter nach der Ursache gesucht und
einen provisorischen, aber zumindest akzeptablen, Workaround gefunden:

Die Fotobuch-Software benutzt unter Linux eine veraltete und auch unsichere Version von
"openssl", nämlich v1.0.0. Die wird seit December 31, 2016 nicht mehr gepflegt!!
(s. auch Wikipedia: https://en.wikipedia.org/wiki/OpenSSL).


Die aktuellen Versionen lauten jedoch 1.0.2 und 1.1.0 und deshalb werden
die installierten Versionen (Debian-Stretch kommt mit 1.0.2 und 1.1.0)
nicht gefunden und auch nicht genutzt. Deshalb funktioniert bei FB 6.2.4
der Start der Anwendung überhaupt nicht und bei FB 6.3.1 das Nachladen
von Zusatzpaketen nicht.

Als Übergangslösung kann man sich behelfen mit 3 SymLinks:

cd /usr/lib/x86_64-linux-gnu/
ln -s openssl-1.0.2 openssl-1.0.0
ln -s libssl.so.1.0.2 libssl.so.1.0.0
ln -s libcrypto.so.1.0.2 libcrypto.so.1.0.0

Somit werden zumindest die aktuellen Bibliotheken benutzt, ohne das
System mit der veralteten Version v1.0.0 unsicher zu machen. SSLv3 ist
also zumindest nicht die Ursache.

Dies ist aber wirklich nur ein Notbehelf und nicht die Lösung. Dazu sind
root-Rechte erforderlich. Ihre Software solle, um aktuell zu sein, auch
die aktuellen Version 1.1.0 voraussetzen und nutzen.

P.S.: Das hilft eventuell auch bei aktuellen Ubuntu-Versionen - die ja auf Debian basieren
ingo2
Beiträge: 27
Registriert: 25.11.2015, 20:41

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon ingo2 » 17.11.2017, 19:55

Update:

habe inzwischen eine Mail vom "second level (technischen) Support" bekommen. Darin heißt es:
hat geschrieben:
Der Client handelt im Bestellprozess das Sicherheitsprotokoll aus. Begonnen wird leider mit SSL und TLS folgt. Es wird überlegt, die Reihenfolge so zu ändern, dass TLS 1.2 zu Beginn geprüft wird.
Es ist also noch nicht mal sicher, dass alle Funktionen mit meinem oben beschriebenen Workaround funktionieren. Ich habe ja nicht alles bis zum Ende durchgetestet, wo es dann zum Schluß ums Bestellen und Bezahlen geht.

Dafür benötigen sie aber etwas Zeit - ok. Bis dahin möge man doch bitte die ältere Version 6.2.1 benutzen.
Ich hoffe nur, daß das auch ernst gemeint ist und Realität wird.

Ingo
steffens
Beiträge: 15
Registriert: 02.12.2011, 13:00

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon steffens » 01.05.2018, 21:06

Das Problem besteht in der aktuellen Version 6.3.3 immer noch.

Mit einem aktuellen Debian stable funktioniert die Netzwerkverbindung nicht.
Das betrifft nicht nur das Nachladen von Cliparts, sondern es ist auch keine Bestellung möglich!
Man erhält nur den ominösen Fehlercode 1000.

Das Setzen der symbolischen Links (wie von Ingo beschrieben) funktioniert, aber welcher normale Anwender/Kunde kommt da von sich aus drauf?
CEWE sollte hier dringend überprüfen, wo hier die uralte SSL-Version verwendet wird und gegen eine aktuellere (mind. gegen die libssl1.0.2, die in Debian noch enthalten ist) bauen.

Steffen
Benutzeravatar Offline
Sylke

15000 Beiträge
Beiträge: 15877
Registriert: 21.11.2006, 08:59
Gliedstaat: Niedersachsen
Kontaktdaten:

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon Sylke » 02.05.2018, 18:35

Hallo steffens,

mit Debian haben wir leider das Problem, dass wichtige Funktionen in OpenSSL nicht mehr zur Verfügung gestellt werden. Diese werden von unserer Anwendung gebraucht, um eine verschlüsselte Verbindung zu unseren Servern aufbauen zu können. Diese Bibliotheken können aus dem Internet heruntergeladen und ins Programmverzeichnis kopiert werden.

Diese Thematik ist unserer Entwicklung bekannt. Gerne informiere ich über weitere Optimierungen und Entwicklungen, sobald diese vorliegen.
Liebe Grüße
Sylke
bzed
Beiträge: 3
Registriert: 10.11.2018, 00:09

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon bzed » 10.11.2018, 14:56

Hallo,

als Debian Entwickler kann ich dazu nur sagen, dass diese "wichtigen Funktionen" aus sehr gutem Grund nicht mehr zur Verfügung gestellt werden: Sie sind seit vielen Jahren als komplett unsicher bekannt und sollten - erst recht im e-commerce Bereich - niemals mehr Verwendung finden. SSL v2 ist eigentlich seit dem es verwendet wurde als unsicher bekannt und wurde durch v3 ersetzt (das war so 1995...1996...) und SSL v3 ist spätestens seit POODLE (wer es nicht kennt - https://security.googleblog.com/2014/10 ... sl-30.html ) als nutzlos einzustufen. Da offensichtlich der Bestellvorgang während dem einloggen die sslv2/v3 Funktionen der libssl verwendet, sollte man dort niemals Daten eingeben, die einem etwas Wert sind... Es ist echt traurig, dass es heutzutage noch so veraltete Software gibt - vor allem, da die Software ja offensichtlich weiter entwickelt wird. Noch trauriger ist es, dass die orderport server ja aktuelle tls versionen akzeptieren, aber die Software nicht damit umgehen kann...

Als workaround kann man folgendes machen:

- in das Installationsverzeichnis der cewe software wechseln
- wget http://ftp.de.debian.org/debian/pool/ma ... _amd64.deb
- ar x libssl1.0.0_1.0.1t-1+deb8u8_amd64.deb
- tar xvfa data.tar.gz
- mv ./usr/lib/x86_64-linux-gnu/lib* .
- rm -rf ./usr control.tar.gz data.tar.gz libssl1.0.0_1.0.1t-1+deb8u8_amd64.deb

Danach sollte die software 6.41 eigentlich funktionieren, wenn nicht, wie folgt starten:
- in das installationsverzeichnis wechseln
- so starten: LD_LIBRARY_PATH=. ./cewe-fotoservice.de

Es ist uebrigens auch echt traurig, dass kein bruachbares Repository fuer apt/yum zur Verfügung gestellt wird, sondern man einen installer bemühen muss - das ist nicht gerade anwenderfreundlich.


Viele Grüße,

Bernd
bzed
Beiträge: 3
Registriert: 10.11.2018, 00:09

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon bzed » 10.11.2018, 15:03

Übrigens laut § 13 Abs. 7 Telemediengesetz (TMG) muss die Verschlüsselung auch dem „Stand der Technik“ entsprechen.... SSLv3 ist schon sehr lange NICHT mehr Stand der Technik.
Benutzeravatar Offline
Sylke

15000 Beiträge
Beiträge: 15877
Registriert: 21.11.2006, 08:59
Gliedstaat: Niedersachsen
Kontaktdaten:

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon Sylke » 12.11.2018, 17:52

Hallo bzed,

vielen Dank für Ihre Anmerkungen zum Thema. Ich fürchte es handelt sich hier um ein Missverständnis. Server- bzw. systemseitig verwenden wir das aktuelle Sicherheitsprotokoll, das dem PCI DSS Security Standard entspricht und folgen somit den Empfehlungen der BSI TR-02102-2. Des Weiteren lassen wir sehr regelmäßig Security Audits durchführen. Wir unterstützen derzeit nur TSLv1.2 und folgende. Ältere Sicherheitsprotokolle wurden von uns abgeschaltet und somit werden Anwendungen, die ein älteres Protokoll voraussetzen, nicht mehr unterstützt.

Bei älteren Versionen können die Nutzer die von Ihnen beschriebene OpenSSL Lib verwenden, um diese Versionen noch nutzen zu können. Da diese Lib in diesem speziellen Fall nur für unsere Software installiert wird, entstehen systemseitig keine Sicherheitslücken und auch beim Verbindungsaufbau mit unseren Servern wird nur TSLv1.2 gesprochen und nicht wie von Ihnen angenommen SSLv2/v3.
Liebe Grüße
Sylke
bzed
Beiträge: 3
Registriert: 10.11.2018, 00:09

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon bzed » 15.11.2018, 13:09

Hallo Sylke,

das ist so leider nicht richtig - auch in der aktuellen Version *erfordert* die cewe Software unter Linux, dass die sslv2v3 Funktion der libssl vorhanden ist. Ist diese nicht verfügbar, bricht der Verbindungsaufbau zu den cewe Servern ab und es kann keine Bestellung durchgeführt werden. Bei Bedarf schicke ich auch gerne die Logs oder bemühe ptrace... Ich vermute mal, dass sie zu möglichst vielen - auch alten Linux Installationen kompatibel sein wollen und deshalb die Software gegen eine sehr veraltete libssl kompilieren. Wenn man so etwas macht, dann sollte man auch die entsprechende libssl mit ausliefern oder statisch einkompilieren. Damit handelt man sich andere Schmerzen ein, aber die Software funktioniert wenigstens. Alternativ: für alle gängigen Betriebssysteme bauen und als Paket zur verfügung stellen. So etwas ist heutzutage voll-automatisiert und problemfrei möglich. Der aktuelle Zustand bedeutet halt, dass es in wenigen bis keiner aktuellen Distribution mehr funktioniert.

Viele Grüße,

Bernd
Benutzeravatar Offline
Sylke

15000 Beiträge
Beiträge: 15877
Registriert: 21.11.2006, 08:59
Gliedstaat: Niedersachsen
Kontaktdaten:

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon Sylke » 15.11.2018, 17:45

Hallo bzed,

Sie bringen hier leider zwei Punkte durcheinander. Das Vorhandensein der Lib dient lediglich der Ermittlung, welche Protokolle der Client unterstützt. Diese Funktion wurde in der OpenSSL von Debian ausgebaut. Diesee fehlende Rückmeldung führt zu Problemen.

Mit der Bestellung hat das überhaupt nichts zu tun. Unsere Systeme und Server sprechen nur TSLv1.2 und können mit älteren Protokollen, wie z.B. SSLv2/v3, nicht kommunizieren. Sie können gerne einen unabhängigen Selbsttest machen. Geben Sie unseren Host orderport01.photoprintit.de (dieser wird bei der Bestellung angesprochen) z.B. bei dem folgenden Dienst ein: https://www.ssllabs.com/ssltest/

Des Weiteren können Sie auf unseren Seiten über Datenschutz und Verschlüsselungen informieren und das wir dahingehend regelmäßig geprüft werden.
Liebe Grüße
Sylke
Benutzeravatar Offline
Sylke

15000 Beiträge
Beiträge: 15877
Registriert: 21.11.2006, 08:59
Gliedstaat: Niedersachsen
Kontaktdaten:

Re: v6.3.1 Nachladen Cliparts, .. keine Netzwerkverbindung

Ungelesener Beitragvon Sylke » 15.11.2018, 18:05

Hallo bzed,

Sie bringen hier leider zwei Punkte durcheinander. Das Vorhandensein der Lib dient lediglich der Ermittlung, welche Protokolle der Client unterstützt. Diese Funktion wurde in der OpenSSL von Debian ausgebaut und diese fehlende Rückmeldung führt zu Problemen.

Mit der Bestellung bzw. dem Datenaustausch hat das überhaupt nichts zu tun. Unsere Systeme und Server sprechen nur TSLv1.2 und können mit älteren Protokollen, wie z.B. SSLv2/v3, nicht kommunizieren. Sie können gerne einen Selbsttest machen. Geben Sie unseren Host orderport01.photoprintit.de (dieser wird bei der Bestellung angesprochen) z.B. bei dem folgenden Dienst ein: https://www.ssllabs.com/ssltest/

Des Weiteren können Sie auf unseren Seiten über Datenschutz und Verschlüsselungen informieren und das wir dahingehend regelmäßig geprüft werden. Wir sind auf dem neusten Stand der Technik.
Liebe Grüße
Sylke

Wer ist online?

Mitglieder in diesem Forum: Google [Bot] und 15 Gäste

cron