The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимости в системе печати CUPS"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в системе печати CUPS"  +/
Сообщение от opennews (??), 17-Июл-18, 09:11 
В системе печати CUPS выявлено (https://blog.gdssecurity.com/labs/2018/7/11/cups-local-privi...) несколько уязвимостей, позволяющих локальному злоумышленнику поднять свои привилегии до пользователя root, получить содержимое файлов, доступных только для root,  и выйти за пределы sandbox-окружения, в том числе обойти ограничения AppArmor в Debian и Ubuntu. В своей комбинации уязвимости позволяют получить атакующему полноценные  root-привилегии в основной системе. В Linux уязвимость затрагивают только системы, в которых непривилегированные пользователи могут вносить изменения в конфигурацию CUPS (например, уязвимы Debian (https://www.debian.org/security/2018/dsa-4243) и Ubuntu (https://usn.ubuntu.com/3713-1/), но проблема не затрагивает дистрибутивы на базе RHEL).
Исправления пока доступны в виде (https://github.com/apple/cups/commit/d47f6aec436e0e9df655443...) патчей (https://github.com/apple/cups/commit/d47f6aec436e0e9df655443...).

-  CVE-2018-4180 (https://security-tracker.debian.org/tracker/CVE-2018-4180) - ошибка в обработчике переменных окружения в dnssd позволяет поднять свои привилегии в системе через установку специально оформленного значения в переменной окружения CUPS_SERVERBIN;

-  CVE-2018-4181 (https://security-tracker.debian.org/tracker/CVE-2018-4181) - некорректная обработка директивы включения других файлов в конфигурацию (include) позволяет непривилегированному пользователю прочитать содержимое любых файлов в системе;

-  CVE-2018-6553 (https://security-tracker.debian.org/tracker/CVE-2018-6553) - некорректная настройка профиля  AppArmor для защиты  бэкенда dnssd позволяет обойти установленные ограничения доступа cupsd к основной системе через создание обработчика dnssd с другим именем, созданного при помощи жесткой ссылки на dnssd;

-  CVE-2017-18248 (https://security-tracker.debian.org/tracker/CVE-2018-18248) - отсутствие проверки использования недопустимых символов в имени пользователя в заданиях вывода на печать может применяться для удалённого инициирования краха CUPS;
-  CVE-2017-15400 (https://security-tracker.debian.org/tracker/CVE-2018-15400) - возможность запуска произвольных команд с правами демона CUPS через настройку подставного сервера IPP и передачу специально оформленного файла PPD;

URL: https://blog.gdssecurity.com/labs/2018/7/11/cups-local-privi...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48966

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Уязвимости в системе печати CUPS"  +8 +/
Сообщение от Нанобот (ok), 17-Июл-18, 09:36 
>поднять свои привилегии до пользователя root

Возможно я сейчас скажу глупость (по причине слабого владения вопросом)...
А зачем системе печати root-права?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимости в системе печати CUPS"  –1 +/
Сообщение от jtad (?), 17-Июл-18, 10:01 
поднять СВОИ права
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Уязвимости в системе печати CUPS"  –1 +/
Сообщение от Аноним (8), 17-Июл-18, 10:03 
>А зачем системе печати root-права?

Нечасто Нанобот высказывает дельные мысли, в данном случае плюсанул.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Уязвимости в системе печати CUPS"  +1 +/
Сообщение от Andrey (??), 17-Июл-18, 11:18 
Можно, конечно, обойтись механизмом Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам, но заработает ли это в других UNIX'ах?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Уязвимости в системе печати CUPS"  +/
Сообщение от Аноним (11), 17-Июл-18, 14:23 
А не проблемы ли это других UNIX'ов?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Уязвимости в системе печати CUPS"  +6 +/
Сообщение от Аноним (14), 17-Июл-18, 15:10 
>> Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам
> А не проблемы ли это других UNIX'ов?

А не излишне ли любят перепончатые по любому надуманному поводу задирать гузку? ))


man mac_portacl
mac_portacl – network port access control polic

HISTORY
     MAC first appeared in FreeBSD 5.0 and mac_portacl first appeared in
     FreeBSD 5.1

июнь 2003

% more /usr/local/etc/devd/cups.conf
# Allow members of group cups to access generic USB printer devices

notify 100 {
        match "system"          "USB";
        match "subsystem"       "INTERFACE";
        match "type"            "ATTACH";
        match "intclass"        "0x07";
        match "intsubclass"     "0x01";
        match "intprotocol"     "(0x01|0x02|0x03)";
        action "chgrp cups /dev/$cdev; chmod g+rw /dev/$cdev";
};
man devd
HISTORY
     The devd utility first appeared in FreeBSD 5.0

январь 2003 (т.е оно старше удава).

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Уязвимости в системе печати CUPS"  +/
Сообщение от Andrey (??), 17-Июл-18, 15:48 
Common UNIX Printing System же.

В Ubuntu через AppArmor нужные capabilities cupsd выставляются.

В RHEL/Fedora скорее всего, тоже самое достигается средствами SELinux.

В Linux capabilities поддерживаются с версии 2.2

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

10. "Уязвимости в системе печати CUPS"  +2 +/
Сообщение от fske (?), 17-Июл-18, 14:19 
Зашибись, уязвимость в cups пролезает через AppArmor...Зачем тогда нужна эта хрень?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Уязвимости в системе печати CUPS"  +1 +/
Сообщение от Аноним (11), 17-Июл-18, 14:25 
Ты еще спроси, для чего нужны антивирусы и презервативы.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Уязвимости в системе печати CUPS"  +/
Сообщение от Аноним (-), 17-Июл-18, 14:36 
н-но ведь антивирусы действительно нинужны - шерето с провами рута, сливающее инфу чужим дядям и требующее за это денег.
А презервативы - штука полезная, да. Ими можно воду фильтровать в условиях дикой местности
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Уязвимости в системе печати CUPS"  +/
Сообщение от Аноним (17), 18-Июл-18, 08:51 
Вообще-то я пытался намекнуть, что 100% защита достигается только вытаскиванием вилки из розетки.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Уязвимости в системе печати CUPS"  +/
Сообщение от qcgg (?), 17-Июл-18, 19:06 
> пролезает через AppArmor...Зачем тогда нужна эта хрень?

Для того, чтобы аффропользователи чувствовали себя защищенными. То, что защита так себе... ну так в убунту все так.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру