URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 114837
[ Назад ]
Исходное сообщение
"Уязвимости в системе печати CUPS"
Отправлено opennews , 17-Июл-18 09:11 
В системе печати CUPS выявлено (https://blog.gdssecurity.com/labs/2018/7/11/cups-local-privi...) несколько уязвимостей, позволяющих локальному злоумышленнику поднять свои привилегии до пользователя root, получить содержимое файлов, доступных только для root,  и выйти за пределы sandbox-окружения, в том числе обойти ограничения AppArmor в Debian и Ubuntu. В своей комбинации уязвимости позволяют получить атакующему полноценные  root-привилегии в основной системе. В Linux уязвимость затрагивают только системы, в которых непривилегированные пользователи могут вносить изменения в конфигурацию CUPS (например, уязвимы Debian (https://www.debian.org/security/2018/dsa-4243) и Ubuntu (https://usn.ubuntu.com/3713-1/), но проблема не затрагивает дистрибутивы на базе RHEL).
Исправления пока доступны в виде (https://github.com/apple/cups/commit/d47f6aec436e0e9df655443...) патчей (https://github.com/apple/cups/commit/d47f6aec436e0e9df655443...).

-  CVE-2018-4180 (https://security-tracker.debian.org/tracker/CVE-2018-4180) - ошибка в обработчике переменных окружения в dnssd позволяет поднять свои привилегии в системе через установку специально оформленного значения в переменной окружения CUPS_SERVERBIN;

-  CVE-2018-4181 (https://security-tracker.debian.org/tracker/CVE-2018-4181) - некорректная обработка директивы включения других файлов в конфигурацию (include) позволяет непривилегированному пользователю прочитать содержимое любых файлов в системе;

-  CVE-2018-6553 (https://security-tracker.debian.org/tracker/CVE-2018-6553) - некорректная настройка профиля  AppArmor для защиты  бэкенда dnssd позволяет обойти установленные ограничения доступа cupsd к основной системе через создание обработчика dnssd с другим именем, созданного при помощи жесткой ссылки на dnssd;

-  CVE-2017-18248 (https://security-tracker.debian.org/tracker/CVE-2018-18248) - отсутствие проверки использования недопустимых символов в имени пользователя в заданиях вывода на печать может применяться для удалённого инициирования краха CUPS;
-  CVE-2017-15400 (https://security-tracker.debian.org/tracker/CVE-2018-15400) - возможность запуска произвольных команд с правами демона CUPS через настройку подставного сервера IPP и передачу специально оформленного файла PPD;

URL: https://blog.gdssecurity.com/labs/2018/7/11/cups-local-privi...
Новость: https://www.opennet.me/opennews/art.shtml?num=48966

Содержание
Сообщения в этом обсуждении
"Уязвимости в системе печати CUPS"
Отправлено Нанобот , 17-Июл-18 09:36 
>поднять свои привилегии до пользователя root

Возможно я сейчас скажу глупость (по причине слабого владения вопросом)...
А зачем системе печати root-права?

"Уязвимости в системе печати CUPS"
Отправлено jtad , 17-Июл-18 10:01 
поднять СВОИ права
"Уязвимости в системе печати CUPS"
Отправлено Аноним , 17-Июл-18 10:03 
>А зачем системе печати root-права?

Нечасто Нанобот высказывает дельные мысли, в данном случае плюсанул.

"Уязвимости в системе печати CUPS"
Отправлено Andrey , 17-Июл-18 11:18 
Можно, конечно, обойтись механизмом Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам, но заработает ли это в других UNIX'ах?
"Уязвимости в системе печати CUPS"
Отправлено Аноним , 17-Июл-18 14:23 
А не проблемы ли это других UNIX'ов?
"Уязвимости в системе печати CUPS"
Отправлено Аноним , 17-Июл-18 15:10 
>> Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам
> А не проблемы ли это других UNIX'ов?

А не излишне ли любят перепончатые по любому надуманному поводу задирать гузку? ))


man mac_portacl
mac_portacl – network port access control polic
HISTORY
     MAC first appeared in FreeBSD 5.0 and mac_portacl first appeared in
     FreeBSD 5.1
июнь 2003

% more /usr/local/etc/devd/cups.conf 
# Allow members of group cups to access generic USB printer devices
notify 100 {
        match "system"          "USB";
        match "subsystem"       "INTERFACE";
        match "type"            "ATTACH";
        match "intclass"        "0x07";
        match "intsubclass"     "0x01";
        match "intprotocol"     "(0x01|0x02|0x03)";
        action "chgrp cups /dev/$cdev; chmod g+rw /dev/$cdev";
};
man devd
HISTORY
     The devd utility first appeared in FreeBSD 5.0
январь 2003 (т.е оно старше удава).

"Уязвимости в системе печати CUPS"
Отправлено Andrey , 17-Июл-18 15:48 
Common UNIX Printing System же.

В Ubuntu через AppArmor нужные capabilities cupsd выставляются.

В RHEL/Fedora скорее всего, тоже самое достигается средствами SELinux.

В Linux capabilities поддерживаются с версии 2.2

"Уязвимости в системе печати CUPS"
Отправлено fske , 17-Июл-18 14:19 
Зашибись, уязвимость в cups пролезает через AppArmor...Зачем тогда нужна эта хрень?
"Уязвимости в системе печати CUPS"
Отправлено Аноним , 17-Июл-18 14:25 
Ты еще спроси, для чего нужны антивирусы и презервативы.
"Уязвимости в системе печати CUPS"
Отправлено Аноним , 17-Июл-18 14:36 
н-но ведь антивирусы действительно нинужны - шерето с провами рута, сливающее инфу чужим дядям и требующее за это денег.
А презервативы - штука полезная, да. Ими можно воду фильтровать в условиях дикой местности
"Уязвимости в системе печати CUPS"
Отправлено Аноним , 18-Июл-18 08:51 
Вообще-то я пытался намекнуть, что 100% защита достигается только вытаскиванием вилки из розетки.
"Уязвимости в системе печати CUPS"
Отправлено qcgg , 17-Июл-18 19:06 
> пролезает через AppArmor...Зачем тогда нужна эта хрень?

Для того, чтобы аффропользователи чувствовали себя защищенными. То, что защита так себе... ну так в убунту все так.