LINUX.ORG.RU

Критическая уязвимость в подсистеме печати cups

 ,


0

0

Утилита lppasswd, из пакета cups, оказалась уязвима к атаке типа format string, связанной с некорректой обработкой переменных окружения. Уязвимость позволяет злоумышленнику, имеющему доступ к серверу печати, выполнить код с правами суперпользователя.

Официального патча CUPS еще нет, но проблему уже пофиксили для Ubuntu и Debian

>>> Подробности



Проверено: boombick ()
Последнее исправление: boombick (всего исправлений: 1)

> Официального патча CUPS еще нет, но проблему уже пофиксили для Ubuntu и Debian

Все слакварщики, арчщики и гентушники-федорщики на этом сообщении закрыли уши, пропустили мимо, и пошли в соседние темы, нести о достоинствах слаквари, арчи, генты, федоры.

Люблю этот момент. Чувствуешь, что просто всё было не зря.

amd
()

Поправьте новость. Для этой «критической» уязвимости необходимо поддержка локализации в lppasswd и установленный setuid.

mv ★★★★★
()
Ответ на: комментарий от mv

> This works as the lppasswd binary happens to be installed with setuid 0 permissions.

Ололо. Вот в сусе, например, он всего-навсего setgid на группу lp. Конфиг cups'а можно несанкционированно посмотреть.

anonymous
()
Ответ на: комментарий от Pavval

Нашли чем гордится, сделали патч и не отправили в апстрим. Патч наверняка опять заглушка как с opensssl было :)

xorik ★★★★★
()
Ответ на: комментарий от amd

Для слакварщиков,арчщиков и гентушников не составит труда установить обновление из deb-пакета, ага :)

anonymous
()
Ответ на: комментарий от amd

gentoo:
-r-xr-xr-x 1 root root 13760 Фев 16 19:47 /usr/bin/lppasswd

opensuse:
-rwsr-xr-x 1 lp sys 14496 Дек 10 03:28 /usr/bin/lppasswd

Как всегда, уязвимость касается только дебианщиков и, кармически, убантоедов.

madcore ★★★★★
()

эммм... решето ?

anonymous
()
Ответ на: комментарий от amd

>Все слакварщики, арчщики и гентушники-федорщики на этом сообщении закрыли уши, пропустили мимо, и пошли в соседние темы, нести о достоинствах слаквари, арчи, генты, федоры.

Люблю этот момент. Чувствуешь, что просто всё было не зря.

Сказал amd, глупо улыбаясь и глядя красными глазами в пустоту. А с угалка рта тонкой струйкой стекала слюна. Он был абсолютно счастлив.

BSD
()

Apple опять обосралась.

Quasar ★★★★★
()

Утром апдейтнулся, слава Марку.

Cancellor ★★★★☆
()

Чем CUPS лучше связки lprng + фильтр (apsfilter, magicfilter) + драйвер?

den2
()

c утра на всех убунтах обновился

ArtemZ
()

Что панику разводить... уязвимость-то локальная...

rjaan ★★
()
Ответ на: комментарий от anonymous

> нет, просто ему иначе 2 месяца без talks сидеть =)

Ага, понятно это новый вид стимулирования нашего платинового героя ;-)))

rjaan ★★
()
Ответ на: комментарий от amd

> Все слакварщики, арчщики и гентушники-федорщики на этом сообщении закрыли уши, пропустили мимо, и пошли в соседние темы, нести о достоинствах слаквари, арчи, генты, федоры.

-r-xr-xr-x 1 root root 9096 2010-01-17 00:34 /usr/bin/lppasswd

2.6.32-ARCH

Люблю этот момент. Чувствуешь, что просто всё было не зря.

anonymous
()
Ответ на: комментарий от anonymous

ll /usr/bin/lppasswd -r-xr-xr-x 1 root root 13876 Дек 23 14:25 /usr/bin/lppasswd

uname -a Linux 2.6.31.12-174.2.22.fc12.i686 #1 SMP Fri Feb 19 19:26:06 UTC 2010 i686 i686 i386 GNU/Linux

anonymous
()
Ответ на: комментарий от BSD

Сказал amd, глупо улыбаясь и глядя красными глазами в пустоту. А с угалка рта тонкой струйкой стекала слюна. Он был абсолютно счастлив.

+1. Обосрался и рад.

$ ls -l /usr/bin/lppasswd
-r-xr-xr-x 1 root root 14720 dec 23 13:25 /usr/bin/lppasswd

Fedora 12

anonymous
()

>Официального патча CUPS еще нет, но проблему уже пофиксили для Ubuntu и Debian

разве из-за этого не следует любить линукс? )

ipeacocks ★★★★★
()
Ответ на: комментарий от overmind88

Ну да. Надо же местных поздравить. У нас вообще ацкий корпоратив готовится на 8 марта. Сначала с пацанами с качалки покажем показательные бои, типа, как на день десантника, только мы будем изображать гладиаторов. А под конец, мужской стриптиз, если сильно не нажремся.

Sun-ch
() автор топика
Ответ на: комментарий от lexxus-lex

>Что за бред? В 5 утра как все обновилось.

Лорчую

P.S. Кедобунту :)


Удваиваю

e000xf000h
()
Ответ на: комментарий от rave

>-rwsr-xr-x 1 root lpadmin 13540 Дек 2 11:55 /usr/bin/lppasswd

Debian 6(обновление прилетело с утра)


Хорошо, что я с Дебиана перелез на Арч:
-r-xr-xr-x 1 root root 9096 Янв 17 00:34 /usr/bin/lppasswd*

Dimanc ★★
()
Ответ на: комментарий от Sun-ch

>А под конец, мужской стриптиз, если сильно не нажремся.

мужской стриптиз

не нажремся

а не наоборот?)

arkhnchul ★★★
()

Прикольно, утром обновился, вечером только прочитал зачем обновился %)

Lordwind ★★★★★
()
Ответ на: комментарий от Dimanc

>Хорошо, что я с Дебиана перелез на Арч

ну у меня то уже обновление встало :)

rave
()

> проблему уже пофиксили для Ubuntu и Debian

спасибо, обновим cups'ик :)

theanonymous
()

мда, суидик-то неприятный....

sv75 ★★★★★
()

Яббл - главное бизнес, пованкувер на безопасность.

anonymous
()
Ответ на: комментарий от amd

>Все слакварщики, арчщики и гентушники-федорщики на этом сообщении
закрыли уши, пропустили мимо,

Нет они просто ржут попадав под табуретку :)


Люблю этот момент. Чувствуешь, что просто всё было не зря.

amd (04.03.2010 12:50:01)



Это потому что ты долбоебЪ :)
Демьян и бубунта жидко обосрались, сначала собрали софт небезопасным образом (оторвали себе яйца) а потом пофиксили это (пришили обратно). А хомячки озираясь вокруг радосно щебечут - мы _теперь_ с яйцами, первее всех - не замечая того что у других таких проблем изначально не было :)

anonymous
()
Ответ на: комментарий от anonymous

Какие же вы все завистливые, ужас...

По сабжу: Марк молодец, не зря деловые люди на него рассчитывают, а не на красноглазиков.

Divius ★★
()
Ответ на: комментарий от anonymous

Демьян и бубунта жидко обосрались, сначала собрали софт небезопасным образом (оторвали себе яйца) а потом пофиксили это (пришили обратно). А хомячки озираясь вокруг радосно щебечут - мы _теперь_ с яйцами, первее всех - не замечая того что у других таких проблем изначально не было :)


через ls до меня не дошло, хорошо, что анонимус объяснил. смешно.

NiggasLife
()

Поменьше бы суидных приложений хороших^W бажных и разных...

microprogs
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.