Sicherheitslücke CVE-2017-11273 in Adobe Digital Editions bis Version 4.5.6

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

!! => 16.04.2024 - Wartungsarbeiten auf den Onleihen, Morgen, Mittwoch, den 17.04.2024 <= !!
Am 17.04.2024 werden bei einem technischen Partner Wartungsarbeiten durchgeführt, die den ganzen Tag andauern werden.
Unsere Systeme sind weiterhin nutzbar, es kann jedoch vereinzelt zu kurzen Lastspitzen kommen, die sich evtl. in der Nutzung der Onleihe bemerkbar machen.

1. offizieller Beitrag

    Hallo zusammen,


    ich bin entsetzt:

    Es wird hier im Forum dazu geraten, nicht auf Version 4.5.7 zu aktualisieren, obwohl ältere Versionen von der als kritisch eingestuften Sicherheitslücke CVE-2017-11273 (auch beschrieben in Adobe Security Bulletin APSB17-39) betroffen sind. Auch das BSI warnt in einer Mitteilung davor.

    Wenn eine kritische Sicherheitslücke besteht, die vom Hersteller bereits per neuer Version behoben wurde, dann kann es doch bitte nicht sein, daß seitens divibib ernsthaft von einer Aktualisierung abgeraten wird und die Schuld auf Adobe geschoben wird.

    Gibt es denn wenigstens genauere Informationen über die Ursache des Problems, das die Onleihe mit der neuen Version 4.5.7 hat?

    Gibt es einen empfohlenen Workaround um mich bei Weiterverwendung von alten Versionen zu schützen?


    Adobe hat also zugegeben, dass die vorherige Version eine ernsthafte Sicherheitslücke hat. Den hat man mit der 4.5.7 beheben wollen und dadurch funktioniert das PDF für ADE (zur Info PDF ist ein Format von Adobe) nicht mehr. Wer hat hier eigentlich einen Fehler gemacht?

    Die Onleihe hat korrekterweise darauf hingewiesen, dass Zeitunglesen mit der letzten ADE Version nicht richtig funktioniert. Jetzt ist es doch jedem selber überlassen, welche ADE Version er benutzt. Das hängt natürlich auch davon ab, ob man die Onleihe zum Lesen von Zeitungen benutzen möchte. Jeder kann selbst entscheiden, was er/sie da tun möchte.

    Ein Workaround ist etwas um mit vernünftigen Aufwand ein Programm dazu zu bringen etwas zu tun, das es können sollte, aber aus irgendeinem Grund nicht tut. Es ist kein Firewall oder ähnliches. Da helfen nur die übliche Sicherheitsmaßnahmen, wie Vorsicht beim Surfen, angemessene Sicherheitseinstellungen usw.

    Es ist nicht so, daß PDF für ADE GAR NICHT mehr funktionieren würde. Ich bekomme durchaus auch in der neuen Version PDFs mit DRM korrekt dargestellt. Allerdings nicht welche aus der Onleihe, insofern wäre ich vorsichtig, in diesem Fall mit dem Finger auf Adobe zu zeigen.

    • Offizieller Beitrag

    Das liegt daran, dass die Dateien der Onleihe komplexer verschlüsselt sind, da sie auch Leihfristen und vorzeitige Rückgaben verwalten können müssen. Insofern hinkt ein Vergleich zu anderen PDFs für ADE.


    Trotzdem ist es natürlich nicht gut, dass sich nun zwei Probleme gegenüberstehen: die Nutzung der mobilen PDFs und die Sicherheitslücke. Da muss auf jeden Fall nachgebessert werden. Allerdings denke ich (ich habe wie ihr alle keine Einblicke hinter die Kulissen), dass die Divibib selbst da wenig tun kann. Ganz offensichtlich wurde bei der Umstellung auf die neue ADE-Version irgendetwas verändert - vonseiten Adobes -, das nun Fehler verursacht.

    Ein Hinweis auf ein eingemeldetes Ticket bei Adobe oder gemeinsame Anstrengungen mit Adobe (oder den Verlagen, falls dort die Ursache liegt) zur Behebung des Problems sind gerade bei kritischen Sicherheitslücken sicher nicht zuviel verlangt.


    Was keinesfalls sein kann, ist: Die Sicherheitslücke ignorieren (nun ist sie ja bekannt und kann somit auch ausgenutzt werden) und einfach mal Fehler in Software nicht patchen.


    Ich fühle mich jedenfalls nicht ausreichend informiert.

    Ich würde mal vermuten, wenn die Divibib schreibt sie hat geprüft, dass sie selbst das Problem mit den ePapern nicht beheben können, eine entsprechende Anfrage an Adobe geschickt hat. Wie willig man dort allerdings ist weiß ich nicht - aber nach meinem Gefühl nicht immer so arg...

    Zitat

    Wir haben dies geprüft und können hier von unserer Seite keine Anpassung vornehmen. Hier muss Adobe nachliefern.

    Bei dieser Formulierung können wir wohl mit Sicherheit davon ausgehen, dass Administrator mit Adobe in Kontakt steht!

    Gruß,
    Bibliotheksmensch

    Adobe ist immer wieder ein Ärgernis.


    Vor 4 Jahren ließen sie sich die Passwörter ihrer Kunden klauen.


    Ich bekam damals eine E-Mail von Adobe, dass ich mein Passwort ändern solle usw. Die war so unterirdisch verfasst, dass ich zuerst glaubte, es handele sich um eine stümperhaft gemachte Phishing-Mail. Auf jeden Fall hatte ich bis zu diesem Vorfall nie Spam in meinem Mail-Ordner. Danach wurde ich damit überflutet!


    Adobe saugt mit ihrem ADE/DRM-Lizenzen Kohle von Buchhandel und -leihe ab – aber spart offensichtlich an der Sicherheit für seine Kunden. Dabei ist ADE ein Witz! Dem ehrlichen Normalo-E-Buch-Käufer werden Steine in den Weg gelegt (z.B. wenn er die Geräte wechselt oder ein Linux-Betriebssystem nutzt) während es für jeden Semi-Hacker ein Kinderspiel ist, Adobes DRM auszuhebeln.


    Ich halte Adobe für parasitär.

    Ich möchte vorausschicken, daß ich wahrlich kein Freund von Adobe bin (die Firma, die uns schon eine Seuche namens "Flash" beschert hat), muss aber hier nochmal nachdrücklich feststellen, daß Adobe in diesem Fall (ADE version 4.5.7) eindeutig keine Schuld an den Problemen mit den PDFs trägt:

    Um zu verifzieren, ob ADE Version 4.5.7 mit geliehenen PDFs korrekt umgehen kann, habe ich mir von einem anderen Leihbibliothekssystem (Overdrive) ein PDF geliehen. Hat anstandslos funktioniert (macOS 10.13.1 High Sierra, Adobe ADE 4.5.7.179634). Man kann das PDF in ADE einwandfrei öffnen, der Inhalt ist in Ordnung.


    Des weiteren habe ich mit dem gleichen Setup ein PDF aus der Onleihe mit ADE 4.5.7 unter macOS geliehen.

    Der Download klappt anständig, auch wenn sich ADE (wie auch schon in der vorhergehenden Version) mit Onleihe-Ausleihen (und nur mit solchen!) am Ende des Downloads aufhängt (force quit ist nötig). Kennt man. Nervt halt. Aber funktioniert. Danach hat man die PDF-Datei ja lokal auf der Festplatte und kann sie nun in ADE ziehen und lesen. Der gesamte Content ist korrekt dargestellt.

    Soll ich noch irgendetwas testen? Unter Windows eventuell? Wenn ja, welche Version?


    Ein Aufruf, Sicherheitslücken bewusst bestehen zu lassen, ist jedenfalls vorsätzliche Gefährdung der eigenen Nutzerschaft und kann nicht im Sinne eines Diensteanbieters sein.

    Zitat von honk

    Um zu verifzieren, ob ADE Version 4.5.7 mit geliehenen PDFs korrekt umgehen kann, habe ich mir von einem anderen Leihbibliothekssystem (Overdrive) ein PDF geliehen. Hat anstandslos funktioniert (macOS 10.13.1 High Sierra, Adobe ADE 4.5.7.179634). Man kann das PDF in ADE einwandfrei öffnen, der Inhalt ist in Ordnung

    An sich ein guter Gedankengang aber leider ist Ausleihe nicht gleich Ausleihe, wie man unterschiedlichen Verhalten von macOS/ADE bei der Verarbeitung von geliehenen Büchern merkt. Die DRM-Merkmale unterscheiden sich zwischen Overdrive und Onleihe.


    So wie es aussieht tritt das Problem mit den PDF nicht pauschal auf aber gehäuft, sonst hätte der Support keine Information herausgegeben.

    Und: es gibt eine Erläuterung, wo die Probleme liegen und warum abgeraten wird. Wer das Risiko nicht eingehen möchte mit der älteren Version, der weiß zumindest welche Konsequenzen ihn erwarten können.

    Auch wenn es hart ist, aber ich vermute die Nutzbarkeit der Angebote ist dem Dienstleister erst mal wichtiger als die Sicherheitslücke (die ja bisher auch schon da war nur keiner wusste es).

    Zitat von honk

    Soll ich noch irgendetwas testen? Unter Windows eventuell? Wenn ja, welche Version?

    O, das habe ich schon längst ausprobiert bei der FAZ auf Win 10 mit ADE 4.5.7. Gibt wie bereits beschrieben viele weisse Seiten mit ab und zu etwas Text. Hat sicher jemand bei Divibib auch schon ausprobiert. Das Problem ist halt auch, dass die Verlage alle DRM benutzen, was bedeutet das Adobe de facto eine Monopolstellung hat.

    Und niemand hat hier dazu aufgerufen Sicherheitlücken einfach bestehen zu lassen.

    Victim Blaming ist keine Lösung. Patchen ist schwierig? Ja! Vor allem wenn man von fremder Software abhängig ist.

    Aber ein Aufruf, Sicherheitslücken zugunsten von Funktionalität in Kauf zu nehmen ist ein gefährlicher Weg. Das ist wie ein Aufruf von Impfgegnern.

    Das bedeutet für mich bloß: Wenn du mit ADE ePaper lesen möchtest wird das wahrscheinlich nicht klappen. Stimmt wohl auch.

    Eben. Daher wäre etwas mehr Information interessant.

    - Wird das jemals behoben werden? Arbeitet man bereits daran oder kommt da ein Status "will not fix"? Denn das käme einer Unbenutzbarkeit von ePapers gleich.

    Ich bin sicher, die Info wie es weitergeht wird kommen, sobald sie zur Verfügung steht.Spekulieren hilft hier nichts.

    Zitat von honk

    Gibt es einen empfohlenen Workaround um mich bei Weiterverwendung von alten Versionen zu schützen?

    Also, aus meiner Sicht ist der Workaround doch offensichtlich:


    ADE einfach nicht verwenden (dann ist das Sicherheitsproblem UND das Problem der nicht möglichen/fehlerhaften/unzumutbaren Verwendung gelöst)

    sondern stattdessen einfach wieder die PDF für Acrobat Reader verwenden, sobald das wieder möglich ist.


    Das gilt doch zumindest für ePaper/Zeitungen.


    Oder habe ich da was falsch verstanden...?

    Zitat von honk

    Ein Hinweis auf ein eingemeldetes Ticket bei Adobe oder gemeinsame Anstrengungen mit Adobe (oder den Verlagen, falls dort die Ursache liegt) zur Behebung des Problems sind gerade bei kritischen Sicherheitslücken sicher nicht zuviel verlangt.

    Sag das mal Adobe! Divibib zahlt für jede verschlüsselung an Adobe und trotz jahrelanger Forderung nach einer Mac kompatiblen ADE Version hat sich da nichts getan. Das interessiert Adobe kein Stück, obwohl Divibib viel Geld bei ihnen liegen lässt!