Рутовая дыра в CUPS, позволяющая поиметь твой комп парой UDP пакетов

Это не настройка сетевого экрана.

Но стоковая конфигурация nftables искаропки, по крайней мере на Manjaro и Arch, как раз таки обеспечивает «эффект NAT». А «настройка обхода» ничуть не сложнее, скорее проще, чем настройка проброса портов в интерфейсе роутера.

Потому что у тебя наверно релизная ОС а не бета-тестерская.

Зачем браузер от рута то? Он только http-коннекты делает.

У меня роллинг-релизная ось - воид.

Только что проверил убунту, после установки /etc/nftables пустой (при этом ещё надо знать, что этот пакет надо установить). В дебиане так же. В арче реально настроенный, я удивлён. Что такое манжаро не знаю.

как раз таки обеспечивает «эффект NAT»

Эффект NAT и сломанный voip/p2p.

Что такое манжаро не знаю.

Одна из попыток «очеловечить» Arch. Мне нравится за большую согласованность пакетной базы (ценой месячного лага), при сохранении фишек Arch-а.

/me c тоской поглядел на значок корпоративного VPN. Дальше было нецензурно и нетолерантно :)

В моём убунту-сервере купса нет, насколько я помню, его надо отдельно галочкой выбирать при установке.

Зачем браузер от рута то?

что бы принтер настроить, по http://127.0.0.1:631 в браузере из под root такие натройки становятся доступны, но это дичь браузер из под root запускать, а другого способа настроить принтер я не нагуглил

Дак это cups слушает tcp 631, а udp 631 слушает cups-browsed, который должен динамически конфигурировать (создавать) принтеры, появляющиеся в сети. То есть включать cups-browsed просто так, это примерно как в большой неуправляемой сети включить dhcp, а потом удивляться, почему левый ip-адрес и ничего не работает...

Там, ЕМНИП, можно было перепахать cupsd.conf, поотключать AuthType и Allow и получить, что конфигурить может любой пользователь (локальный).

Принтеры давно уже не нужны, ну может где в провинции или деревне еще пользуются.

Как деревенский житель подтверждаю - принтер используется раз несколько в год.

просто серваки с голым задом в интернете

И что,вот просто так с голым задом,да еще и легко находимые,и никто не использует в своих целях? Я не имею в виду цели деструктивные,а например настроить себе там прокси на белом IP чтобы через него ходить туда,куда из-за NAT сотового оператора не пускает. Ну или наоборот - туннель с определенного порта «ихнего» белого IP к себе за NAT сотового оператора.

Шо? Таки уязвимый порт открыт на внешку или сервис локально на лупбеке слушает?

И что,вот просто так с голым задом,да еще и легко находимые

Чем-то удивлен? SSH-сервер без аутентификации по ключам (как минимум) - это тоже сервер, если что. Либо где-нибудь поднятый VNC без пароля, который тупо забыл установить нуб-сисадмин (либо с дефолтными 12345, коих там тысячи).

Про вебкамеры молчу. Сам заходил и менял дефолтные настройки, делая идиотам «каку».

и никто не использует в своих целях?

Используют, конечно же, тихо-незаметно сливая ту или иную sensitive data.

Я не имею в виду цели деструктивные,а например настроить себе там прокси на белом IP

Откуда мне знать. Свяжись со взломщиками да разузнай, будешь в курсе.

Мб ты хотел сказать бэкдор?

Большая часть систем здравоохранения и охраны правопорядка в России признает только бумажные документы.

Если у тебя есть CUPS, лучше бы его вырубить нахрен, закрыть udp порт 631

У них что порт по умолчанию открыт во внешнюю сеть, а не в localhost? Вот в чём тогда дыра. Зачем мне по умолчанию нужен сервер печати в интернет если мне надо только на локалтном принтере подключённым по USB печатать?

Золотое правило безопасности что весь доступ по умолчанию должен быть отключён и включать только тогда когда в этом есть надобность.

сломанный voip/p2p

Так сложно прописать разрешённые порты? Всяко лучше чем показывать все дыры в софте наружу.

Он не от рута запускает, а от другого пользователя, чюдик.

Которые, не подскажешь? Они динамические в почти всегда.

сломанный voip/p2p

Так сложно прописать разрешённые порты?

Ну ты позвони своему провайдеру, попроси его прописать порты. Посмотри куда он тебя пошлёт.

Золотое правило безопасности что весь доступ по умолчанию должен быть отключён и включать только тогда когда в этом есть надобность.

Написал пользователь лялекса, где любая пользовательская софтина может срать в $HOME куда и сколько ей захочется и читать оттуда любые ключи/пароли.

Вот поэтому придумывают контейнеры и атомарные дистрибутивы.

Атомарные дистрибутивы тут никак не в тему. В NixOS софт так же может срать в $HOME.

Контейнеры могли бы помочь, только на десктопе их почему-то никто не юзает. Когда убанта засунула огнелиса и хромого в Snap, такой вой поднялся!

Ну ты позвони своему провайдеру, попроси его прописать порты. Посмотри куда он тебя пошлёт.

Вот, кстати, нужно было на проваидерском роутере порты прописать, а они стираются после перезапуска. И официальны ответ проваидера был - купи свой роутер. Уроды!!!

27 числа фикс автоматически прилетел в Ubuntu с unattended-upgrade, если у вас нет автоматического обновления, достаточно обновиться

Commandline: /usr/bin/unattended-upgrade
Upgrade: libcups2:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), libcups2:i386 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-bsd:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-common:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-client:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-daemon:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-ipp-utils:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), libcupsimage2:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-core-drivers:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-server-common:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11)
End-Date: 2024-09-27  06:20:20

Start-Date: 2024-09-27  06:20:33
Commandline: /usr/bin/unattended-upgrade
Upgrade: cups-filters-core-drivers:amd64 (1.28.15-0ubuntu1.2, 1.28.15-0ubuntu1.3)
End-Date: 2024-09-27  06:20:34

Start-Date: 2024-09-27  06:20:37
Commandline: /usr/bin/unattended-upgrade
Upgrade: cups-filters:amd64 (1.28.15-0ubuntu1.2, 1.28.15-0ubuntu1.3)
End-Date: 2024-09-27  06:20:39

Start-Date: 2024-09-27  06:20:42
Commandline: /usr/bin/unattended-upgrade
Upgrade: cups-ppdc:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11)
End-Date: 2024-09-27  06:20:42

Start-Date: 2024-09-27  06:20:45
Commandline: /usr/bin/unattended-upgrade
Upgrade: libcupsfilters1:amd64 (1.28.15-0ubuntu1.2, 1.28.15-0ubuntu1.3)
End-Date: 2024-09-27  06:20:46

В данный момент cups слушает на tcp и только в локальную сеть tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20282/cupsd

Продолжение истории: https://www.opennet.ru/opennews/art.shtml?num=62008. Оказывается CUPS ещё может использоваться как инструмент DDoS.

Я агитирую всех использовать flatpak

Не я тут писал про рутовую дыру

еще от рута бравзеры запускает как и Столяров

Столяров браузер запускает НЕ из под рута, а от менее привилегированного пользователя.

Ах, ну раз ты агитируешь, то проблема стопудов решена!

Вот те на… Ладно, оно того стоит.