Gondolom hallottatok a legújabb CUPS bugról. A kérdésem az, hogy tudja-e valaki, hogy hogyan kellene beállítani a nyomtatást Linuxon úgy, hogy bizstonságban is legyünk, de működjön is a nyomtatás?
Erről a bugról van szó: https://www.thestack.technology/critical-9-9-linux-bug-cups-your-ears-t…
A legtöbb helyen USB-n nyomtatok, de van ahol hálózati nyomtató van.
Dsiclaimer: nagyjából semmit nem tudok arról, hogy hogy működik a nyomtatás Linuxon, és a bug részleteit se nagyon ismerem.
Annyit hallottam, hogy egy kraftolt UDP csomaggal létre lehet hozni egy nyomtató bejegyzést, amit ha használ a user, akkor az távoli kódfuttatásra alkalmas - ráadásul rootként, ha ez számít. Azt is állította a bug felfedezője, hogy egy rakás másik szálon is elindulhatott volna, mert az UDP üzenet parszere tele van hibákkal, akár még egyéb hibák is lehetnek itt. A legjobb lenne teljesen lezárni mindent. De ha lezárjuk, akkor fog működni a nyomtatás?
Hozzászólások
kikepzo nagy CUPS szakértő, remélem fog tudni segíteni és megtalálja ezt a topicot.
Aláírás _Franko_ miatt törölve.
neut @
"hogyan kellene beállítani a nyomtatást Linuxon úgy, hogy bizstonságban is legyünk"
Szóval elmehetünk abba az irányba, hogy mi az a biztonság ésatöbbi. És épeszű ember ennyi információ alapján nem ad semmi tanácsot.
Vagy megnézed, hogy fut-e a cups-browsed és ha nem, akkor ennyi volt, ha meg igen, akkor kitalálod, hogy tényleg kell-e hogy fusson (ezt csak te tudod eldönteni, de valószínűleg nem kell).
Elsőre leállítottam mindent, ami cups. A cups-browsed a probléma? A sima cups nem érintett?
Ezek vannak ezen a gépen például:
/etc/systemd/system# ls |grep cups
snap-cups-1052.mount
snap-cups-1058.mount
snap.cups.cups-browsed.service
snap.cups.cupsd.service
https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulne…
Domain, tárhely és webes megoldások: aWh
Tehát a Red Hat szerint a cups-browsed szolgáltatást kell kiiktatni, hogy ne fusson ahhoz, hogy biztonsgában legyünk ettől a sebezhetőségtől.
Köszi!
Így van. Ha nem nyomtatsz hálózatról, akkor nyugodtan kiiktathatod a cups-browsed szolgáltatást, anélkül is simán nyomtat helyi USB-s nyomtatóval a CUPS, nem kell neki a működéséhez.
Nálam nem csak a cups-browsed nem fut, de alapesetben a CUPS sem, ha nagy ritkán nyomtatok, egy saját készítésű scripttel addig elindítom a nyomtatás idejére a CUPS service-t, aztán a nyomtatás után csak egy billentyűleütés, és már nem is fut a CUPS se.
Egyébként attól függően, hogy milyen disztrót és tárolót használsz, akár már lehet, hogy kijött a rendszeredhez a javított verzió, amiben már nincs meg ez a sebezhetőség.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Kb igen. De RHEL (és gondolom az azon alapuló disztrokba) az default configba nincs is használva, szóval ha valahol csak felrakták, akkor igazából nem érinti a hiba azokat az embereket.
De közbe már meg is van peccselve: https://access.redhat.com/security/vulnerabilities/RHSB-2024-002
Domain, tárhely és webes megoldások: aWh
Dupla.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Tripla.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Már mimagyarok is keressük a sebezhető hostokat. ;)
https://www.abuseipdb.com/check/195.228.75.121
Amúgy ha versenyszféra lennék gyorsabban reagálnék arra, hogy botnet része a szerverünk. De nem mérgelődöm.