Comments 27
Т.е. уязвимости присвоена оценка 9.9 баллов, для эксплуатации которой необходима данная комбинация условий:
Нестандартная конфигурация cups
Сетевой доступ к 631 порту компьютера
Методы социальной инженерии
Нашедший уязвимости на данный момент опубликовал описание только того, что утекло в паблик.
Судя по его посту в блоге, он хотел похайпиться, а так же не очень понимает, как оценивать CVSS score
он хотел похайпиться
Не без этого, но всё-таки он скорее хотел привлечь внимание к уязвимости, потому что трёхнедельная переписка с разработчикам никаких плодов не дала.
не очень понимает, как оценивать CVSS score
Поэтому и ссылается на инженеров из RedHat, именно которые и нарисовали цифру 9.9. Откуда они это взяли — тот ещё вопрос, но видимо по каким-то формальным критериям сильно выстрелило.
Нестандартная конфигурация cups
Да вот как раз проблема в том, что стандартная (до апдейтов в дистрибутивах - https://ubuntu.com/security/CVE-2024-47176)
Cетевой доступ к 631 порту компьютера
NAT - не файрволл
но это точно на 9.9 не тянет, даже у убунты оно помечено как medium
Как минимум в дестктопных Fedora и openSUSE по умолчанию включен фаерволл в котором этот порт закрыт
Для убунты, может, и стандартная. В Arch-based это не работает, в openSUSE не работает, в Fedora - не работает.
на импортозащемленном астма линуксе (deb-based) не работает. завидуйте молча.
впрочем я оттуда убираю все что связано с avahi, mDNS и прочей сетевой дружбомагией,
(возможно убрался и cups-browsed), как и предписывает нам концепция zero trust.
убираю все что связано с avahi, mDNS
Я раньше тоже всегда убирал. Но, копаясь с локальным синком Anytype, проникся концепцией и фичами. Естественно, это можно оставлять только в доверенной локалке.
копаясь с локальным синком Anytype
это оно https://anytype.io/faq ? на выброс не глядя.
только в доверенной локалке.
повторно: концепция zero trust как бы намекает нам, что никаких доверенных локалок не существует.
кстати гадить в сеть мультикастами тоже нехорошая идея.
на выброс не глядя.
Можете обосновать?
никаких доверенных локалок не существует
Если пойти этой дорогой, то и доверенных вычислительных устройств не существует. Вы когда последний раз изучали исходный код прошивки биоса или обвязки на материнке? А ядра операционной системы и всего используемого вами софта?
кстати гадить в сеть мультикастами тоже нехорошая идея.
А этим уже ваш маршрутизатор должен заниматься. IGMP snooping, multicast to unicast, вот это вот все.
Можете обосновать?
на морде слишком много буллшита за все хорошее против всего плохого.
клиент написан на TypeScript, что тот же Javascript, т.е. тормоза будут.
гадит в сеть мультикастами.
код серверов не доступен, чем напоминет дуровграм.
Если пойти этой дорогой, то и доверенных вычислительных устройств не существует.
reductio ad absurdum - отличный аргумент.
А этим уже ваш маршрутизатор должен заниматься
кому он должен всем простил. а мне проще не усложнять и выкинуть.
на морде слишком много буллшита за все хорошее против всего плохого
Можете раскрыть мысль?
клиент написан на TypeScript, что тот же Javascript, т.е. тормоза будут
У меня на старом ноуте с процессором, выпущенным в Q3'12 работает отлично.
гадит в сеть мультикастами
Многое гадит в сеть мультикастами. Для этого у вас есть маршрутизатор и его настройки. А еще это штатный режим работы в некоторых случаях, типа потокового видео или детект всяких умных дивайсов.
reductio ad absurdum - отличный аргумент.
Немного не в тему.
кому он должен всем простил. а мне проще не усложнять и выкинуть.
Ну т.е. базовые настройки не можете подкрутить, проще выкинуть?
Можете раскрыть мысль?
по-моему все очевидно. какие слова вам непонятны ?
Многое гадит в сеть мультикастами.
"многое" - это преувеличение.
Для этого у вас есть маршрутизатор
можете считать что его нет. или что он неуправляемый,
а все хосты подключены к Интернету напрямую и имеют реальные IP адреса.
А еще это штатный режим работы в некоторых случаях,
и не подлежащий перенастройке ? если да то на выброс.
типа потокового видео
было актуально во времена MBONE, сейчас заглохло. и слава Омниссии.
или детект всяких умных дивайсов.
автодетект через бродкасты-мультикасты - та самая сетевая дружбомагия,
которой быть не должно в соответствии вы знаете с чем.
по-моему все очевидно. какие слова вам непонятны ?
Слова то понятны, но они не складываются в какую-то мысль.
на морде слишком много буллшита за все хорошее против всего плохого
Что это значит? Слишком много элементов управления? Или что?
"многое" - это преувеличение.
Вы таки не поверите. NAS, телевизоры, сетевые принтеры, умные устройства и т.п.
можете считать что его нет. или что он неуправляемый,а все хосты подключены к Интернету напрямую и имеют реальные IP адреса.
Если у вас не организована локальная сеть, то и обсуждаемый сабж вам не нужен в принципе. Но это не значит что у всех так.
Дальше пошли какие-то набросы, которые я комментировать не буду. Не нужен вам мультикаст, не пользуйтесь. Я вас не заставляю.
Почему тогда всем уязвимостям SMB, при условии открытых на распашку портов 137-139 и 445 не выставляли 9,9 в cvss? https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=SMB Или это другое?
Я так понял 2 ИЛИ 3. Фейковый принтер или открытый порт.
А хоть в одной linux cups включен по умолчанию?
Как мне кажется 9.9 это уже когда у тебя есть универсальный root пароль...
Очень хотел попаниковать, но лень собирать дырявый компонент :)
# emerge -s cups-browsed
[ Results for search key : cups-browsed ]
Searching...
* net-print/cups-browsed
Latest version available: 2.0.1
Latest version installed: [ Not Installed ]
Size of files: 418 KiB
Homepage: https://github.com/OpenPrinting/cups-browsed
Description: helper daemon to browse for remote CUPS queues and IPP network printers
License: Apache-2.0
[ Applications found : 1 ]
>Критическая уязвимость с оценкой CVSS 9,9 обнаружена в GNU/Linux
Заголовок неадекватный на 100%. Либо статья слишком путанная (если 9.9 дырка не в купсе)
Серверный debian
Unit cups-browsed.service could not be found.
На серверах выходит нет этой уязвимости?
Ну тут вопрос не сервера, а графического рабочего стола. Если при установке выбрали графику - получили cups. Если не выбрали - не будет и cups .По крайней мере в дебиане так.
Ну и сама уязвимость, судя по описанию, без пользователя не работает. Служба cups-browsed на десктопе помогает пользователю найти сетевые принтеры и подключиться к ним. Вот такой принтер может быть зловредным. А атака происходит в момент печати на такой принтер.
Я так понимаю, без социальной инженерии заставить пользователя подключиться к принтеру будет сложно.
Учитывая количество уязвимых устройств — достаточно на них массово зарегистрировать принтер «Save To PDF» и ждать случайных срабатываний. Кто-нибудь, да выберет не тот пункт в менюшке.
Суть атаки в том, что добавление принтера в систему происходит без участия пользователя. Социальная инженерия нужна только чтобы запустить задание печати на этом принтере — только тогда выполняется произвольный код.
Критическая уязвимость с оценкой CVSS 9,9 обнаружена в GNU/Linux