Уязвимости в системе печати CUPS

17.07.2018 09:03

В системе печати CUPS выявлено несколько уязвимостей, позволяющих локальному злоумышленнику поднять свои привилегии до пользователя root, получить содержимое файлов, доступных только для root, и выйти за пределы sandbox-окружения, в том числе обойти ограничения AppArmor в Debian и Ubuntu. В своей комбинации уязвимости позволяют получить атакующему полноценные root-привилегии в основной системе. В Linux уязвимость затрагивают только системы, в которых непривилегированные пользователи могут вносить изменения в конфигурацию CUPS (например, уязвимы Debian и Ubuntu, но проблема не затрагивает дистрибутивы на базе RHEL). Исправления пока доступны в виде патчей.

CVE-2018-4180 - ошибка в обработчике переменных окружения в dnssd позволяет поднять свои привилегии в системе через установку специально оформленного значения в переменной окружения CUPS_SERVERBIN;
CVE-2018-4181 - некорректная обработка директивы включения других файлов в конфигурацию (include) позволяет непривилегированному пользователю прочитать содержимое любых файлов в системе;
CVE-2018-6553 - некорректная настройка профиля AppArmor для защиты бэкенда dnssd позволяет обойти ограничения доступа cupsd к основной системе через создание обработчика dnssd с другим именем, созданного при помощи жесткой ссылки на dnssd;
CVE-2017-18248 - отсутствие проверки использования недопустимых символов в имени пользователя в заданиях вывода на печать может применяться для удалённого инициирования краха CUPS;
CVE-2017-15400 - возможность запуска произвольных команд с правами демона CUPS через настройку подставного сервера IPP и передачу специально оформленного файла PPD;

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/48966-cups

Ключевые слова: cups

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (12)

1.3, Нанобот (ok), 09:36, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
>поднять свои привилегии до пользователя root Возможно я сейчас скажу глупость (по причине слабого владения вопросом)... А зачем системе печати root-права?

2.7, jtad (?), 10:01, 17/07/2018 [^] [^^] [^^^] [ответить]	–1 +/–
поднять СВОИ права

2.8, Аноним (8), 10:03, 17/07/2018 [^] [^^] [^^^] [ответить]	–1 +/–
>А зачем системе печати root-права? Нечасто Нанобот высказывает дельные мысли, в данном случае плюсанул.

2.9, Andrey (??), 11:18, 17/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Можно, конечно, обойтись механизмом Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам, но заработает ли это в других UNIX'ах?

3.11, Аноним (11), 14:23, 17/07/2018 [^] [^^] [^^^] [ответить]	+/–
А не проблемы ли это других UNIX'ов?

4.14, Аноним (14), 15:10, 17/07/2018 [^] [^^] [^^^] [ответить]

+6 +/–

>> Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам
> А не проблемы ли это других UNIX'ов?

А не излишне ли любят перепончатые по любому надуманному поводу задирать гузку? ))

man mac_portacl
mac_portacl – network port access control polic

HISTORY
MAC first appeared in FreeBSD 5.0 and mac_portacl first appeared in
FreeBSD 5.1

июнь 2003

% more /usr/local/etc/devd/cups.conf
# Allow members of group cups to access generic USB printer devices

notify 100 {
        match "system"          "USB";
        match "subsystem"       "INTERFACE";
        match "type"            "ATTACH";
        match "intclass"        "0x07";
        match "intsubclass"     "0x01";
        match "intprotocol"     "(0x01|0x02|0x03)";
        action "chgrp cups /dev/$cdev; chmod g+rw /dev/$cdev";
};
man devd
HISTORY
     The devd utility first appeared in FreeBSD 5.0

январь 2003 (т.е оно старше удава).

4.15, Andrey (??), 15:48, 17/07/2018 [^] [^^] [^^^] [ответить]

+/–

Common UNIX Printing System же.

В Ubuntu через AppArmor нужные capabilities cupsd выставляются.

В RHEL/Fedora скорее всего, тоже самое достигается средствами SELinux.

В Linux capabilities поддерживаются с версии 2.2

1.10, fske (?), 14:19, 17/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Зашибись, уязвимость в cups пролезает через AppArmor...Зачем тогда нужна эта хрень?

2.12, Аноним (11), 14:25, 17/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Ты еще спроси, для чего нужны антивирусы и презервативы.

3.13, Аноним (-), 14:36, 17/07/2018 [^] [^^] [^^^] [ответить]	+/–
н-но ведь антивирусы действительно нинужны - шерето с провами рута, сливающее инфу чужим дядям и требующее за это денег. А презервативы - штука полезная, да. Ими можно воду фильтровать в условиях дикой местности

4.17, Аноним (17), 08:51, 18/07/2018 [^] [^^] [^^^] [ответить]	+/–
Вообще-то я пытался намекнуть, что 100% защита достигается только вытаскиванием вилки из розетки.

2.16, qcgg (?), 19:06, 17/07/2018 [^] [^^] [^^^] [ответить]	+/–
> пролезает через AppArmor...Зачем тогда нужна эта хрень? Для того, чтобы аффропользователи чувствовали себя защищенными. То, что защита так себе... ну так в убунту все так.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: