Критическая уязвимость в подсистеме печати cups

Кто такой сервер печи? О_О

Конечно же «сервер печати».

> Официального патча CUPS еще нет, но проблему уже пофиксили для Ubuntu и Debian

Все слакварщики, арчщики и гентушники-федорщики на этом сообщении закрыли уши, пропустили мимо, и пошли в соседние темы, нести о достоинствах слаквари, арчи, генты, федоры.

Люблю этот момент. Чувствуешь, что просто всё было не зря.

Поправьте новость. Для этой «критической» уязвимости необходимо поддержка локализации в lppasswd и установленный setuid.

только весь мир с cups пересобрал....

>Официального патча CUPS еще нет

Что за бред? В 5 утра как все обновилось.

P.S. Кедобунту :)

Чмоки всем, кто не deb-based!:)

crackme!

> This works as the lppasswd binary happens to be installed with setuid 0 permissions.

Ололо. Вот в сусе, например, он всего-навсего setgid на группу lp. Конфиг cups'а можно несанкционированно посмотреть.

Нашли чем гордится, сделали патч и не отправили в апстрим. Патч наверняка опять заглушка как с opensssl было :)

Для слакварщиков,арчщиков и гентушников не составит труда установить обновление из deb-пакета, ага :)

Никак саныч Debian зауважал? :-)))

нет, просто ему иначе 2 месяца без talks сидеть =)

gentoo:
-r-xr-xr-x 1 root root 13760 Фев 16 19:47 /usr/bin/lppasswd

opensuse:
-rwsr-xr-x 1 lp sys 14496 Дек 10 03:28 /usr/bin/lppasswd

Как всегда, уязвимость касается только дебианщиков и, кармически, убантоедов.

эммм... решето ?

>Все слакварщики, арчщики и гентушники-федорщики на этом сообщении закрыли уши, пропустили мимо, и пошли в соседние темы, нести о достоинствах слаквари, арчи, генты, федоры.

Люблю этот момент. Чувствуешь, что просто всё было не зря.

Сказал amd, глупо улыбаясь и глядя красными глазами в пустоту. А с угалка рта тонкой струйкой стекала слюна. Он был абсолютно счастлив.

Apple опять обосралась.

Утром апдейтнулся, слава Марку.

Чем CUPS лучше связки lprng + фильтр (apsfilter, magicfilter) + драйвер?

c утра на всех убунтах обновился

Что панику разводить... уязвимость-то локальная...

> нет, просто ему иначе 2 месяца без talks сидеть =)

Ага, понятно это новый вид стимулирования нашего платинового героя ;-)))

> Все слакварщики, арчщики и гентушники-федорщики на этом сообщении закрыли уши, пропустили мимо, и пошли в соседние темы, нести о достоинствах слаквари, арчи, генты, федоры.

-r-xr-xr-x 1 root root 9096 2010-01-17 00:34 /usr/bin/lppasswd

2.6.32-ARCH

Люблю этот момент. Чувствуешь, что просто всё было не зря.

ll /usr/bin/lppasswd -r-xr-xr-x 1 root root 13876 Дек 23 14:25 /usr/bin/lppasswd

uname -a Linux 2.6.31.12-174.2.22.fc12.i686 #1 SMP Fri Feb 19 19:26:06 UTC 2010 i686 i686 i386 GNU/Linux

Сказал amd, глупо улыбаясь и глядя красными глазами в пустоту. А с угалка рта тонкой струйкой стекала слюна. Он был абсолютно счастлив.

+1. Обосрался и рад.

$ ls -l /usr/bin/lppasswd
-r-xr-xr-x 1 root root 14720 dec 23 13:25 /usr/bin/lppasswd

Fedora 12

да мне пох на толксы. Просто готовлюсь выступать на 8 марта.

красноречие тренируешь? :)

>Официального патча CUPS еще нет, но проблему уже пофиксили для Ubuntu и Debian

разве из-за этого не следует любить линукс? )

Ну да. Надо же местных поздравить. У нас вообще ацкий корпоратив готовится на 8 марта. Сначала с пацанами с качалки покажем показательные бои, типа, как на день десантника, только мы будем изображать гладиаторов. А под конец, мужской стриптиз, если сильно не нажремся.

>разве из-за этого Следует!

-rwsr-xr-x 1 root lpadmin 13540 Дек 2 11:55 /usr/bin/lppasswd

Debian 6(обновление прилетело с утра)

>Что за бред? В 5 утра как все обновилось.

Лорчую

P.S. Кедобунту :)

Удваиваю

>-rwsr-xr-x 1 root lpadmin 13540 Дек 2 11:55 /usr/bin/lppasswd

Debian 6(обновление прилетело с утра)

Хорошо, что я с Дебиана перелез на Арч:
-r-xr-xr-x 1 root root 9096 Янв 17 00:34 /usr/bin/lppasswd*

>А под конец, мужской стриптиз, если сильно не нажремся.

мужской стриптиз

не нажремся

а не наоборот?)

Прикольно, утром обновился, вечером только прочитал зачем обновился %)

>Хорошо, что я с Дебиана перелез на Арч

ну у меня то уже обновление встало :)

> проблему уже пофиксили для Ubuntu и Debian

спасибо, обновим cups'ик :)

мда, суидик-то неприятный....

Яббл - главное бизнес, пованкувер на безопасность.

>Все слакварщики, арчщики и гентушники-федорщики на этом сообщении
закрыли уши, пропустили мимо,

Нет они просто ржут попадав под табуретку :)

Люблю этот момент. Чувствуешь, что просто всё было не зря.

amd (04.03.2010 12:50:01)

Это потому что ты долбоебЪ :)
Демьян и бубунта жидко обосрались, сначала собрали софт небезопасным образом (оторвали себе яйца) а потом пофиксили это (пришили обратно). А хомячки озираясь вокруг радосно щебечут - мы _теперь_ с яйцами, первее всех - не замечая того что у других таких проблем изначально не было :)

Какие же вы все завистливые, ужас...

По сабжу: Марк молодец, не зря деловые люди на него рассчитывают, а не на красноглазиков.

Демьян и бубунта жидко обосрались, сначала собрали софт небезопасным образом (оторвали себе яйца) а потом пофиксили это (пришили обратно). А хомячки озираясь вокруг радосно щебечут - мы _теперь_ с яйцами, первее всех - не замечая того что у других таких проблем изначально не было :)

через ls до меня не дошло, хорошо, что анонимус объяснил. смешно.

Поменьше бы суидных приложений хороших^W бажных и разных...