Gondolom hallottatok a legújabb CUPS bugról. A kérdésem az, hogy tudja-e valaki, hogy hogyan kellene beállítani a nyomtatást Linuxon úgy, hogy bizstonságban is legyünk, de működjön is a nyomtatás?
Erről a bugról van szó: https://www.thestack.technology/critical-9-9-linux-bug-cups-your-ears-t…
A legtöbb helyen USB-n nyomtatok, de van ahol hálózati nyomtató van.
Dsiclaimer: nagyjából semmit nem tudok arról, hogy hogy működik a nyomtatás Linuxon, és a bug részleteit se nagyon ismerem.
Annyit hallottam, hogy egy kraftolt UDP csomaggal létre lehet hozni egy nyomtató bejegyzést, amit ha használ a user, akkor az távoli kódfuttatásra alkalmas - ráadásul rootként, ha ez számít. Azt is állította a bug felfedezője, hogy egy rakás másik szálon is elindulhatott volna, mert az UDP üzenet parszere tele van hibákkal, akár még egyéb hibák is lehetnek itt. A legjobb lenne teljesen lezárni mindent. De ha lezárjuk, akkor fog működni a nyomtatás?
Hozzászólások
kikepzo nagy CUPS szakértő, remélem fog tudni segíteni és megtalálja ezt a topicot.
Aláírás _Franko_ miatt törölve.
neut @
"hogyan kellene beállítani a nyomtatást Linuxon úgy, hogy bizstonságban is legyünk"
Szóval elmehetünk abba az irányba, hogy mi az a biztonság ésatöbbi. És épeszű ember ennyi információ alapján nem ad semmi tanácsot.
Vagy megnézed, hogy fut-e a cups-browsed és ha nem, akkor ennyi volt, ha meg igen, akkor kitalálod, hogy tényleg kell-e hogy fusson (ezt csak te tudod eldönteni, de valószínűleg nem kell).
Elsőre leállítottam mindent, ami cups. A cups-browsed a probléma? A sima cups nem érintett?
Ezek vannak ezen a gépen például:
/etc/systemd/system# ls |grep cups
snap-cups-1052.mount
snap-cups-1058.mount
snap.cups.cups-browsed.service
snap.cups.cupsd.service
https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulne…
Domain, tárhely és webes megoldások: aWh
Tehát a Red Hat szerint a cups-browsed szolgáltatást kell kiiktatni, hogy ne fusson ahhoz, hogy biztonsgában legyünk ettől a sebezhetőségtől.
Köszi!
Így van. Ha nem nyomtatsz hálózatról, akkor nyugodtan kiiktathatod a cups-browsed szolgáltatást, anélkül is simán nyomtat helyi USB-s nyomtatóval a CUPS, nem kell neki a működéséhez.
Nálam nem csak a cups-browsed nem fut, de alapesetben a CUPS sem, ha nagy ritkán nyomtatok, egy saját készítésű scripttel addig elindítom a nyomtatás idejére a CUPS service-t, aztán a nyomtatás után csak egy billentyűleütés, és már nem is fut a CUPS se.
Egyébként attól függően, hogy milyen disztrót és tárolót használsz, akár már lehet, hogy kijött a rendszeredhez a javított verzió, amiben már nincs meg ez a sebezhetőség.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Dupla.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Tripla.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Már mimagyarok is keressük a sebezhető hostokat. ;)
https://www.abuseipdb.com/check/195.228.75.121
Amúgy ha versenyszféra lennék gyorsabban reagálnék arra, hogy botnet része a szerverünk. De nem mérgelődöm.