forum.opennet.ru - "Уязвимости в системе печати CUPS" (12)

"Уязвимости в системе печати CUPS"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в системе печати CUPS"	+/–
Сообщение от opennews (??), 17-Июл-18, 09:11
В системе печати CUPS выявлено (https://blog.gdssecurity.com/labs/2018/7/11/cups-local-privi...) несколько уязвимостей, позволяющих локальному злоумышленнику поднять свои привилегии до пользователя root, получить содержимое файлов, доступных только для root, и выйти за пределы sandbox-окружения, в том числе обойти ограничения AppArmor в Debian и Ubuntu. В своей комбинации уязвимости позволяют получить атакующему полноценные root-привилегии в основной системе. В Linux уязвимость затрагивают только системы, в которых непривилегированные пользователи могут вносить изменения в конфигурацию CUPS (например, уязвимы Debian (https://www.debian.org/security/2018/dsa-4243) и Ubuntu (https://usn.ubuntu.com/3713-1/), но проблема не затрагивает дистрибутивы на базе RHEL). Исправления пока доступны в виде (https://github.com/apple/cups/commit/d47f6aec436e0e9df655443...) патчей (https://github.com/apple/cups/commit/d47f6aec436e0e9df655443...). - CVE-2018-4180 (https://security-tracker.debian.org/tracker/CVE-2018-4180) - ошибка в обработчике переменных окружения в dnssd позволяет поднять свои привилегии в системе через установку специально оформленного значения в переменной окружения CUPS_SERVERBIN; - CVE-2018-4181 (https://security-tracker.debian.org/tracker/CVE-2018-4181) - некорректная обработка директивы включения других файлов в конфигурацию (include) позволяет непривилегированному пользователю прочитать содержимое любых файлов в системе; - CVE-2018-6553 (https://security-tracker.debian.org/tracker/CVE-2018-6553) - некорректная настройка профиля AppArmor для защиты бэкенда dnssd позволяет обойти установленные ограничения доступа cupsd к основной системе через создание обработчика dnssd с другим именем, созданного при помощи жесткой ссылки на dnssd; - CVE-2017-18248 (https://security-tracker.debian.org/tracker/CVE-2018-18248) - отсутствие проверки использования недопустимых символов в имени пользователя в заданиях вывода на печать может применяться для удалённого инициирования краха CUPS; - CVE-2017-15400 (https://security-tracker.debian.org/tracker/CVE-2018-15400) - возможность запуска произвольных команд с правами демона CUPS через настройку подставного сервера IPP и передачу специально оформленного файла PPD; URL: https://blog.gdssecurity.com/labs/2018/7/11/cups-local-privi... Новость: https://www.opennet.dev/opennews/art.shtml?num=48966
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимости в системе печати CUPS, Нанобот (ok), 09:36 , 17-Июл-18, (3) +8

Уязвимости в системе печати CUPS, jtad (?), 10:01 , 17-Июл-18, (7) –1
Уязвимости в системе печати CUPS, Аноним (8), 10:03 , 17-Июл-18, (8) –1
Уязвимости в системе печати CUPS, Andrey (??), 11:18 , 17-Июл-18, (9) +1

Уязвимости в системе печати CUPS, Аноним (11), 14:23 , 17-Июл-18, (11)

Уязвимости в системе печати CUPS, Аноним (14), 15:10 , 17-Июл-18, (14) +6
Уязвимости в системе печати CUPS, Andrey (??), 15:48 , 17-Июл-18, (15)

Уязвимости в системе печати CUPS, fske (?), 14:19 , 17-Июл-18, (10) +2

Уязвимости в системе печати CUPS, Аноним (11), 14:25 , 17-Июл-18, (12) +1

Уязвимости в системе печати CUPS, Аноним (-), 14:36 , 17-Июл-18, (13)

Уязвимости в системе печати CUPS, Аноним (17), 08:51 , 18-Июл-18, (17)

Уязвимости в системе печати CUPS, qcgg (?), 19:06 , 17-Июл-18, (16)

Сообщения по теме [Сортировка по времени | RSS]

3. "Уязвимости в системе печати CUPS" +8 +/–

Сообщение от Нанобот (ok), 17-Июл-18, 09:36

>поднять свои привилегии до пользователя root
Возможно я сейчас скажу глупость (по причине слабого владения вопросом)...
А зачем системе печати root-права?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимости в системе печати CUPS" –1 +/–

Сообщение от jtad (?), 17-Июл-18, 10:01

поднять СВОИ права

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Уязвимости в системе печати CUPS" –1 +/–

Сообщение от Аноним (8), 17-Июл-18, 10:03

>А зачем системе печати root-права?
Нечасто Нанобот высказывает дельные мысли, в данном случае плюсанул.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Уязвимости в системе печати CUPS" +1 +/–

Сообщение от Andrey (??), 17-Июл-18, 11:18

Можно, конечно, обойтись механизмом Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам, но заработает ли это в других UNIX'ах?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Уязвимости в системе печати CUPS" +/–

Сообщение от Аноним (11), 17-Июл-18, 14:23

А не проблемы ли это других UNIX'ов?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Уязвимости в системе печати CUPS" +6 +/–

Сообщение от Аноним (14), 17-Июл-18, 15:10

>> Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам
> А не проблемы ли это других UNIX'ов?
А не излишне ли любят перепончатые по любому надуманному поводу задирать гузку? ))

man mac_portacl
mac_portacl – network port access control polic
HISTORY
     MAC first appeared in FreeBSD 5.0 and mac_portacl first appeared in
     FreeBSD 5.1
июнь 2003
% more /usr/local/etc/devd/cups.conf
# Allow members of group cups to access generic USB printer devices
notify 100 {
        match "system"          "USB";
        match "subsystem"       "INTERFACE";
        match "type"            "ATTACH";
        match "intclass"        "0x07";
        match "intsubclass"     "0x01";
        match "intprotocol"     "(0x01|0x02|0x03)";
        action "chgrp cups /dev/$cdev; chmod g+rw /dev/$cdev";
};
man devd
HISTORY
     The devd utility first appeared in FreeBSD 5.0
январь 2003 (т.е оно старше удава).

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Уязвимости в системе печати CUPS" +/–

Сообщение от Andrey (??), 17-Июл-18, 15:48

Common UNIX Printing System же.
В Ubuntu через AppArmor нужные capabilities cupsd выставляются.
В RHEL/Fedora скорее всего, тоже самое достигается средствами SELinux.
В Linux capabilities поддерживаются с версии 2.2

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

10. "Уязвимости в системе печати CUPS" +2 +/–

Сообщение от fske (?), 17-Июл-18, 14:19

Зашибись, уязвимость в cups пролезает через AppArmor...Зачем тогда нужна эта хрень?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Уязвимости в системе печати CUPS" +1 +/–

Сообщение от Аноним (11), 17-Июл-18, 14:25

Ты еще спроси, для чего нужны антивирусы и презервативы.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Уязвимости в системе печати CUPS" +/–

Сообщение от Аноним (-), 17-Июл-18, 14:36

н-но ведь антивирусы действительно нинужны - шерето с провами рута, сливающее инфу чужим дядям и требующее за это денег.
А презервативы - штука полезная, да. Ими можно воду фильтровать в условиях дикой местности

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Уязвимости в системе печати CUPS" +/–

Сообщение от Аноним (17), 18-Июл-18, 08:51

Вообще-то я пытался намекнуть, что 100% защита достигается только вытаскиванием вилки из розетки.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Уязвимости в системе печати CUPS" +/–

Сообщение от qcgg (?), 17-Июл-18, 19:06

> пролезает через AppArmor...Зачем тогда нужна эта хрень?
Для того, чтобы аффропользователи чувствовали себя защищенными. То, что защита так себе... ну так в убунту все так.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

3. "Уязвимости в системе печати CUPS"	+8 +/–
Сообщение от Нанобот (ok), 17-Июл-18, 09:36
>поднять свои привилегии до пользователя root Возможно я сейчас скажу глупость (по причине слабого владения вопросом)... А зачем системе печати root-права?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	7. "Уязвимости в системе печати CUPS"	–1 +/–
	Сообщение от jtad (?), 17-Июл-18, 10:01
	поднять СВОИ права
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	8. "Уязвимости в системе печати CUPS"	–1 +/–
	Сообщение от Аноним (8), 17-Июл-18, 10:03
	>А зачем системе печати root-права? Нечасто Нанобот высказывает дельные мысли, в данном случае плюсанул.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	9. "Уязвимости в системе печати CUPS"	+1 +/–
	Сообщение от Andrey (??), 17-Июл-18, 11:18
	Можно, конечно, обойтись механизмом Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам, но заработает ли это в других UNIX'ах?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	11. "Уязвимости в системе печати CUPS"	+/–
	Сообщение от Аноним (11), 17-Июл-18, 14:23
	А не проблемы ли это других UNIX'ов?
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	14. "Уязвимости в системе печати CUPS"	+6 +/–
	Сообщение от Аноним (14), 17-Июл-18, 15:10
	>> Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам > А не проблемы ли это других UNIX'ов? А не излишне ли любят перепончатые по любому надуманному поводу задирать гузку? )) man mac_portacl mac_portacl – network port access control polic HISTORY MAC first appeared in FreeBSD 5.0 and mac_portacl first appeared in FreeBSD 5.1 июнь 2003 % more /usr/local/etc/devd/cups.conf # Allow members of group cups to access generic USB printer devices notify 100 { match "system" "USB"; match "subsystem" "INTERFACE"; match "type" "ATTACH"; match "intclass" "0x07"; match "intsubclass" "0x01"; match "intprotocol" "(0x01\|0x02\|0x03)"; action "chgrp cups /dev/$cdev; chmod g+rw /dev/$cdev"; }; man devd HISTORY The devd utility first appeared in FreeBSD 5.0 январь 2003 (т.е оно старше удава).
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	15. "Уязвимости в системе печати CUPS"	+/–
	Сообщение от Andrey (??), 17-Июл-18, 15:48
	Common UNIX Printing System же. В Ubuntu через AppArmor нужные capabilities cupsd выставляются. В RHEL/Fedora скорее всего, тоже самое достигается средствами SELinux. В Linux capabilities поддерживаются с версии 2.2
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору

10. "Уязвимости в системе печати CUPS"	+2 +/–
Сообщение от fske (?), 17-Июл-18, 14:19
Зашибись, уязвимость в cups пролезает через AppArmor...Зачем тогда нужна эта хрень?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	12. "Уязвимости в системе печати CUPS"	+1 +/–
	Сообщение от Аноним (11), 17-Июл-18, 14:25
	Ты еще спроси, для чего нужны антивирусы и презервативы.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "Уязвимости в системе печати CUPS"	+/–
	Сообщение от Аноним (-), 17-Июл-18, 14:36
	н-но ведь антивирусы действительно нинужны - шерето с провами рута, сливающее инфу чужим дядям и требующее за это денег. А презервативы - штука полезная, да. Ими можно воду фильтровать в условиях дикой местности
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	17. "Уязвимости в системе печати CUPS"	+/–
	Сообщение от Аноним (17), 18-Июл-18, 08:51
	Вообще-то я пытался намекнуть, что 100% защита достигается только вытаскиванием вилки из розетки.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	16. "Уязвимости в системе печати CUPS"	+/–
	Сообщение от qcgg (?), 17-Июл-18, 19:06
	> пролезает через AppArmor...Зачем тогда нужна эта хрень? Для того, чтобы аффропользователи чувствовали себя защищенными. То, что защита так себе... ну так в убунту все так.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору