В системе печати CUPS выявлено (https://blog.gdssecurity.com/labs/2018/7/11/cups-local-privi...) несколько уязвимостей, позволяющих локальному злоумышленнику поднять свои привилегии до пользователя root, получить содержимое файлов, доступных только для root, и выйти за пределы sandbox-окружения, в том числе обойти ограничения AppArmor в Debian и Ubuntu. В своей комбинации уязвимости позволяют получить атакующему полноценные root-привилегии в основной системе. В Linux уязвимость затрагивают только системы, в которых непривилегированные пользователи могут вносить изменения в конфигурацию CUPS (например, уязвимы Debian (https://www.debian.org/security/2018/dsa-4243) и Ubuntu (https://usn.ubuntu.com/3713-1/), но проблема не затрагивает дистрибутивы на базе RHEL).
Исправления пока доступны в виде (https://github.com/apple/cups/commit/d47f6aec436e0e9df655443...) патчей (https://github.com/apple/cups/commit/d47f6aec436e0e9df655443...).- CVE-2018-4180 (https://security-tracker.debian.org/tracker/CVE-2018-4180) - ошибка в обработчике переменных окружения в dnssd позволяет поднять свои привилегии в системе через установку специально оформленного значения в переменной окружения CUPS_SERVERBIN;
- CVE-2018-4181 (https://security-tracker.debian.org/tracker/CVE-2018-4181) - некорректная обработка директивы включения других файлов в конфигурацию (include) позволяет непривилегированному пользователю прочитать содержимое любых файлов в системе;
- CVE-2018-6553 (https://security-tracker.debian.org/tracker/CVE-2018-6553) - некорректная настройка профиля AppArmor для защиты бэкенда dnssd позволяет обойти установленные ограничения доступа cupsd к основной системе через создание обработчика dnssd с другим именем, созданного при помощи жесткой ссылки на dnssd;
- CVE-2017-18248 (https://security-tracker.debian.org/tracker/CVE-2018-18248) - отсутствие проверки использования недопустимых символов в имени пользователя в заданиях вывода на печать может применяться для удалённого инициирования краха CUPS;
- CVE-2017-15400 (https://security-tracker.debian.org/tracker/CVE-2018-15400) - возможность запуска произвольных команд с правами демона CUPS через настройку подставного сервера IPP и передачу специально оформленного файла PPD;URL: https://blog.gdssecurity.com/labs/2018/7/11/cups-local-privi...
Новость: https://www.opennet.me/opennews/art.shtml?num=48966
>поднять свои привилегии до пользователя rootВозможно я сейчас скажу глупость (по причине слабого владения вопросом)...
А зачем системе печати root-права?
поднять СВОИ права
>А зачем системе печати root-права?Нечасто Нанобот высказывает дельные мысли, в данном случае плюсанул.
Можно, конечно, обойтись механизмом Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам, но заработает ли это в других UNIX'ах?
А не проблемы ли это других UNIX'ов?
>> Capabilities для использования 631 порта и udev для раздачи прав доступа к USB-принтерам
> А не проблемы ли это других UNIX'ов?А не излишне ли любят перепончатые по любому надуманному поводу задирать гузку? ))
июнь 2003
man mac_portacl
mac_portacl – network port access control policHISTORY
MAC first appeared in FreeBSD 5.0 and mac_portacl first appeared in
FreeBSD 5.1
январь 2003 (т.е оно старше удава).% more /usr/local/etc/devd/cups.conf
# Allow members of group cups to access generic USB printer devicesnotify 100 {
match "system" "USB";
match "subsystem" "INTERFACE";
match "type" "ATTACH";
match "intclass" "0x07";
match "intsubclass" "0x01";
match "intprotocol" "(0x01|0x02|0x03)";
action "chgrp cups /dev/$cdev; chmod g+rw /dev/$cdev";
};
man devd
HISTORY
The devd utility first appeared in FreeBSD 5.0
Common UNIX Printing System же.В Ubuntu через AppArmor нужные capabilities cupsd выставляются.
В RHEL/Fedora скорее всего, тоже самое достигается средствами SELinux.
В Linux capabilities поддерживаются с версии 2.2
Зашибись, уязвимость в cups пролезает через AppArmor...Зачем тогда нужна эта хрень?
Ты еще спроси, для чего нужны антивирусы и презервативы.
н-но ведь антивирусы действительно нинужны - шерето с провами рута, сливающее инфу чужим дядям и требующее за это денег.
А презервативы - штука полезная, да. Ими можно воду фильтровать в условиях дикой местности
Вообще-то я пытался намекнуть, что 100% защита достигается только вытаскиванием вилки из розетки.
> пролезает через AppArmor...Зачем тогда нужна эта хрень?Для того, чтобы аффропользователи чувствовали себя защищенными. То, что защита так себе... ну так в убунту все так.