https://www.opennet.dev/openforum/vsluhforumID3/114837.html В системе печати CUPS выявлено (https://blog.gdssecurity.com/labs/2018/7/11/cups-local-privilege-escalation-and-sandbox-escapes.html) несколько уязвимостей, позволяющих локальному злоумышленнику поднять свои привилегии до пользователя root, получить содержимое файлов, доступных только для root, и выйти за пределы sandbox-окружения, в том числе обойти ограничения AppArmor в Debian и Ubuntu. В своей комбинации уязвимости позволяют получить атакующему полноценные root-привилегии в основной системе. В Linux уязвимость затрагивают только системы, в которых непривилегированные пользователи могут вносить изменения в конфигурацию CUPS (например, уязвимы Debian (https://www.debian.org/security/2018/dsa-4243) и Ubuntu (https://usn.ubuntu.com/3713-1/), но проблема не затрагивает дистрибутивы на базе RHEL).<br>Исправления пока доступны в виде (https://github.com/apple/cups/commit/d47f6aec436e0e9df6554436e391471097686ecc) патчей (https://github.com/apple/cups/commit/d47f6aec436e0e9df6554436e391471097686ecc).<br><br><br><br><br><br>- https://www.opennet.dev/openforum/vsluhforumID3/114837.html#17 Wed, 18 Jul 2018 05:51:21 GMT Вообще-то я пытался намекнуть, что 100% защита достигается только вытаскиванием вилки из розетки.<br> https://www.opennet.dev/openforum/vsluhforumID3/114837.html#16 Tue, 17 Jul 2018 16:06:55 GMT &gt; пролезает через AppArmor...Зачем тогда нужна эта хрень?<br><br>Для того, чтобы аффропользователи чувствовали себя защищенными. То, что защита так себе... ну так в убунту все так.<br> https://www.opennet.dev/openforum/vsluhforumID3/114837.html#15 Tue, 17 Jul 2018 12:48:45 GMT Common UNIX Printing System же.<br><br>В Ubuntu через AppArmor нужные capabilities cupsd выставляются.<br><br>В RHEL/Fedora скорее всего, тоже самое достигается средствами SELinux.<br><br>В Linux capabilities поддерживаются с версии 2.2<br> https://www.opennet.dev/openforum/vsluhforumID3/114837.html#14 Tue, 17 Jul 2018 12:10:52 GMT &gt;&gt; Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам<br>&gt; А не проблемы ли это других UNIX'ов?<br><br>А не излишне ли любят перепончатые по любому надуманному поводу задирать гузку? ))<br>[code]<br>man mac_portacl<br>mac_portacl &#8211; network port access control polic<br><br>HISTORY<br> MAC first appeared in FreeBSD 5.0 and mac_portacl first appeared in<br> FreeBSD 5.1<br>[/code] июнь 2003<br><br>[code]<br><br>% more /usr/local/etc/devd/cups.conf <br># Allow members of group cups to access generic USB printer devices<br><br>notify 100 {<br> match "system" "USB";<br> match "subsystem" "INTERFACE";<br> match "type" "ATTACH";<br> match "intclass" "0x07";<br> match "intsubclass" "0x01";<br> match "intprotocol" "(0x01&#124;0x02&#124;0x03)";<br> action "chgrp cups /dev/$cdev; chmod g+rw /dev/$cdev";<br>};<br>man devd<br>HISTORY<br> The devd utility first appeared in FreeBSD 5.0<br>[/code] январь 2003 (т.е оно старше удава).<br><br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/114837.html#13 Tue, 17 Jul 2018 11:36:38 GMT н-но ведь антивирусы действительно нинужны - шерето с провами рута, сливающее инфу чужим дядям и требующее за это денег.<br>А презервативы - штука полезная, да. Ими можно воду фильтровать в условиях дикой местности<br> https://www.opennet.dev/openforum/vsluhforumID3/114837.html#12 Tue, 17 Jul 2018 11:25:02 GMT Ты еще спроси, для чего нужны антивирусы и презервативы.<br> https://www.opennet.dev/openforum/vsluhforumID3/114837.html#11 Tue, 17 Jul 2018 11:23:11 GMT А не проблемы ли это других UNIX'ов?<br> https://www.opennet.dev/openforum/vsluhforumID3/114837.html#10 Tue, 17 Jul 2018 11:19:14 GMT Зашибись, уязвимость в cups пролезает через AppArmor...Зачем тогда нужна эта хрень?<br> https://www.opennet.dev/openforum/vsluhforumID3/114837.html#9 Tue, 17 Jul 2018 08:18:23 GMT Можно, конечно, обойтись механизмом Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам, но заработает ли это в других UNIX'ах?<br>