LINUX.ORG.RU
ФорумSecurity

Рутовая дыра в CUPS, позволяющая поиметь твой комп парой UDP пакетов

 , ,


1

2

Привет, ЛОР!

В CUPS нашли зияющую огромную дыру размером с кратер от ядерного взрыва. Если у тебя есть CUPS, лучше бы его вырубить нахрен, закрыть udp порт 631 и удалить cups-browsed. Всё это включено из коробки в убанте и федоре, если что. Патчей пока нет.

Изначально планировалось, что информацию о дыре опубликуют 5 октябра, но эксплоит утёк раньше, поэтому нашедший её чувак опубликовал всё сегодня.

Длинный ролик на YT на Лундюка: https://www.youtube.com/watch?v=EdyKQicDRys

Утёкший отчёт: https://gist.github.com/stong/c8847ef27910ae344a7b5408d9840ee1

Длинный пост от чувака, нашедшего дыру: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

P.S. если кому надо шквор, пилите новость :)

Перемещено hobbit из talks

★★★★★

Последнее исправление: hateyoufeel (всего исправлений: 7)
Нас всех поимеют
ГИГАНТСКАЯ RCE В СЛУЖБЕ ПЕЧАТИ

1 2
Ответ на: комментарий от vbr

Это не настройка сетевого экрана.

Но стоковая конфигурация nftables искаропки, по крайней мере на Manjaro и Arch, как раз таки обеспечивает «эффект NAT». А «настройка обхода» ничуть не сложнее, скорее проще, чем настройка проброса портов в интерфейсе роутера.

QsUPt7S ★★
()
Ответ на: комментарий от QsUPt7S

Только что проверил убунту, после установки /etc/nftables пустой (при этом ещё надо знать, что этот пакет надо установить). В дебиане так же. В арче реально настроенный, я удивлён. Что такое манжаро не знаю.

vbr ★★★★
()
Ответ на: комментарий от QsUPt7S

как раз таки обеспечивает «эффект NAT»

Эффект NAT и сломанный voip/p2p.

MagicMirror ★★
()
Ответ на: комментарий от vbr

Что такое манжаро не знаю.

Одна из попыток «очеловечить» Arch. Мне нравится за большую согласованность пакетной базы (ценой месячного лага), при сохранении фишек Arch-а.

QsUPt7S ★★
()
Ответ на: комментарий от Morin

/me c тоской поглядел на значок корпоративного VPN. Дальше было нецензурно и нетолерантно :)

SkyMaverick ★★★★★
()

В моём убунту-сервере купса нет, насколько я помню, его надо отдельно галочкой выбирать при установке.

PolarFox ★★★★★
()
Ответ на: комментарий от firkax

Зачем браузер от рута то?

что бы принтер настроить, по http://127.0.0.1:631 в браузере из под root такие натройки становятся доступны, но это дичь браузер из под root запускать, а другого способа настроить принтер я не нагуглил

amd_amd ★★★★★
()
Ответ на: комментарий от u5er

Дак это cups слушает tcp 631, а udp 631 слушает cups-browsed, который должен динамически конфигурировать (создавать) принтеры, появляющиеся в сети. То есть включать cups-browsed просто так, это примерно как в большой неуправляемой сети включить dhcp, а потом удивляться, почему левый ip-адрес и ничего не работает...

mky ★★★★★
()
Ответ на: комментарий от amd_amd

Там, ЕМНИП, можно было перепахать cupsd.conf, поотключать AuthType и Allow и получить, что конфигурить может любой пользователь (локальный).

mky ★★★★★
()
Ответ на: комментарий от XOXO

Принтеры давно уже не нужны, ну может где в провинции или деревне еще пользуются.

Как деревенский житель подтверждаю - принтер используется раз несколько в год.

watchcat382
()
Ответ на: комментарий от Gonzo

просто серваки с голым задом в интернете

И что,вот просто так с голым задом,да еще и легко находимые,и никто не использует в своих целях? Я не имею в виду цели деструктивные,а например настроить себе там прокси на белом IP чтобы через него ходить туда,куда из-за NAT сотового оператора не пускает. Ну или наоборот - туннель с определенного порта «ихнего» белого IP к себе за NAT сотового оператора.

watchcat382
()

Шо? Таки уязвимый порт открыт на внешку или сервис локально на лупбеке слушает?

cocucka_B_TECTE
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.
1 2
Нас всех поимеют
Security
ГИГАНТСКАЯ RCE В СЛУЖБЕ ПЕЧАТИ