The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Драйверы Samsung создают брешь в безопасности

19.07.2007 10:48

При установке драйвера принтера Samsung SCX-4200, создается огромная брешь в безопасности системы. Некоторые вспомогательные утилиты и такие приложения как xsane, xscanimage, и OpenOffice.org начинают всегда выполняться с привилегиями суперпользователя.

Причина в автоматической установке, инсталляционным скриптом из комплекта драйверов, "set-uid root" прав для ряда стандартных приложений, имеющих отношение к печати.

  1. Главная ссылка к новости (http://it.slashdot.org/article...)
  2. lwn.net: Samsung printer drivers open up the system
  3. secunia.com: Samsung SCX-4200 Driver Installation Script Privilege Escalation
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/11462-security
Ключевые слова: security, driver
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, vadiml (?), 11:49, 19/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот Вам и Квалифицированные программеры производителя
     
     
  • 2.3, IGOR (?), 12:53, 19/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Дык .... может себе старались
     
  • 2.9, Имя (?), 18:19, 19/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Мана-мана
    я всегда знал что самсунг ХАЛТУРЩИКИ, но что до такой степени - не думал!
     

  • 1.2, Nice (?), 12:03, 19/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мдя
     
  • 1.4, devcoder (??), 13:01, 19/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самсуньк не так от MS-а добро получил на использование Linux в своих разработках,
    видимо МS-овцы и советом помогли :)
     
  • 1.5, Jay (??), 13:31, 19/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подтверждаю проблему.
    Сам наткнулся где-то месяц назад. Вот тут описал подробно:
    http://linuxforum.ru/index.php?showtopic=44033

    [quote]
    Довожу до общего сведения, что инсталлятор драйверов из версии 20070425141808453_UnifiedLinuxDriver.tar.gz делает некоторые неочевидные и странные вещи.
    А именно, оборачивает программы xsane, xscanimage, soffice.bin СУИДНЫМИ(!) врапперами.

    Обнаружил это сегодня. У меня есть общий ресурс на nfs, куда пользователи складывают документы. Естественно, у рута там права ниже плинтуса. Поступила жалоба от сотрудницы, которой я вчера поставил сей девайс с новыми драйверами, что она не может записать файл в свой каталог на общем ресурсе. Каково было мое удивление, когда я увидел в списке процессов soffice.bin.bin, запущенный от рута, который держал открытым указанный файл с общего ресурса. Поиск в гугле прояснил ситуацию. Почитал файл install.sh от драйверов.. много думал.. Лечится просто. Удаляется суидный soffice.bin, а soffice.bin.bin переименовывается обратно в soffice.bin.

    Причина этого вполне понятна - от обычного пользователя сканер в этом МФУ не работает. Но такого я не ожидал.. Похоже, что программисты Samsung не смогли придумать механизм общения с их сканером без прав рута и решили проблему просто - сделали суидными те приложения, которые вспомнили.. Я все понимаю, но СУИДНЫЙ OpenOffice.org - это жесть.. и за это надо бить, возможно, даже ногами.

    sane работать с ним не будет, скорее всего, никогда.. ибо, насколько я понял из показаний strace, где-то внутри либы libmfp есть вызов setuid. Если scanimage запускается от обычного пользователя, то setuid не срабатывает. При этом, scanimage почему-то падает по segmentation fault, хотя должно было бы корректно выйти с сообщением об ошибке.

    Собственные приложения конфигурирования и сканирования также суидные и выполняются с правами рута.

    В общем, будьте бдительны.. закрытое ПО может нас поиметь
    [/quote]

     
     
  • 2.6, Bocha (??), 14:19, 19/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Подтверждаю проблему.
    >Сам наткнулся где-то месяц назад. Вот тут описал подробно:
    >http://linuxforum.ru/index.php?showtopic=44033
    >
    >[quote]
    >Довожу до общего сведения, что инсталлятор драйверов из версии 20070425141808453_UnifiedLinuxDriver.tar.gz делает некоторые
    >неочевидные и странные вещи.
    [skipped]
    >В общем, будьте бдительны.. закрытое ПО может нас поиметь
    >[/quote]


    Да, вот это хороший камент, предлагаю ссылку на него в тело новости.

     

  • 1.10, Аноним (-), 20:22, 19/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    МММ у меня такойже unified driver от самсунга только дял устрйоства SCX-4100, так вот xsane от простого юзера не видит сканера вобще, если запустить от рута все норм, решается очень просто - chmod 777 /dev/lp0 в инит-скрипты. Думаю вышеозначенную проблему можно решить также.
     
     
  • 2.15, gvy (ok), 03:14, 20/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >МММ у меня такойже unified driver от самсунга только дял устрйоства SCX-4100,
    >так вот xsane от простого юзера не видит сканера вобще, если
    >запустить от рута все норм, решается очень просто - chmod 777
    >/dev/lp0 в инит-скрипты. Думаю вышеозначенную проблему можно решить также.

    Для 4100 по крайней мере печать (сканер там не был нужен) работала с перепакованным драйвером:

    http://hathawaymix.org/Weblog/2005-07-15
    http://oskari.saarenmaa.fi/rpm/

    С диска брать было нельзя ни в коем случае, корёжил libqt-mt, судя по предварительному прощупыванию почвы гуглем.  Поскольку эта сборка заработала сразу и без выкрутасов, проверять ровность 2.x с сайта уже не стал.

    http://lwn.net/Articles/242170/

     

  • 1.11, oxyum (?), 22:48, 19/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Короче, все кроме сканера прекрасно работает без SUID. Драйвер сканера у них так написан, что без SUID оно работать не способно. Даже если есть права на USB. Единственный вариант тут это какой-нить SELinux или RSBAC IMHO. Ну еще есть вариант bit-hack, но боюсь за это никто не возьмется, хотя где-то в нете натыкался на пост, со ссылкой бинарно патченную либу для старой версии драйверов.
     
     
  • 2.12, oxyum (?), 22:50, 19/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Да, и я ставил все руками не рискнув запустить их скрипт!

    А вообще МФУ - suxx... А уж Sumsung со своими дровами так вообще.

    PS: У меня Xerox Workcentre 3119, который является полным OEM-клоном Samsung SCX-4200.

     
     
  • 3.21, profalex (?), 14:31, 20/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > PS: У меня Xerox Workcentre 3119, который является полным OEM-клоном Samsung SCX-4200.

    А разве не наоборот?

     

  • 1.17, Аноним (-), 10:32, 20/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, ладно... кривовато вышло, но паники-то навели..
    я, кстати, все пакеты и sane,openoffice сносил потом не раз... так что никакого set-uid root уже нет... и все работает...
    вот кстати патч под драйвера...
    http://jacobo.tarrio.org/Samsung_SCX-4200_on_Debian
    (работает не только под debian)
     
     
  • 2.20, Квагга (?), 12:22, 20/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати - рекламка нехилая!
    Может, Самсунь намеренно?
     

  • 1.18, jno (?), 10:58, 20/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    IMHO, для целей [около]_персонального_ юзания, можно и sudoers настроить для sane...
     
  • 1.19, Fantamas (?), 12:02, 20/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гнусмас он и в Африке Гнусмас
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру