Симоне Маргарителли (Simone Margaritelli), автор межсетевого экрана OpenSnitch и сетевого анализатора bettercap, досрочно раскрыл информацию о ранее анонсированных критических уязвимостях, позволяющих удалённо атаковать дистрибутивы GNU/Linux, Solaris, FreeBSD и некоторые другие BSD-системы. Изначально публикация была запланирована на 6 октября, но из-за утечки информации сведения пришлось опубликовать досрочно, до того как большинство дистрибутивов успеет подготовить обновление пакетов. Уязвимости затрагивают сервер печати CUPS и позволяют удалённо без прохождения аутентификации добиться выполнения кода в системе...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61942
>Уязвимость в сервере печати на линуксеРебят, можете не переживать)
На Почте России уже отменяют договора на покупку лицензий.
Что-то не нашёл опровержения вот подобным новостям https://www.tadviser.ru/index.php/Проект:Почта_России_%28ОС_Альт_%28ранее_Альт_Линукс_%28ALT_Linux%29%29
Apple просто так что ли CUPS купила ?
Там не всё так просто. Она его сначала купила, а потом выкинула на мороз. Но бывший разраб почему-то стал работать исключительно в интересах apple. Например, запланировано выкидывание PPD и Kerberos. Плюс обратная совместимость ломается, старые принтеры скорее всего отвалятся.
В смысле, отвалятся? Никто не мешает любой принтер установить, как "Generic Postscript".
Как Canon с своим ccpd выставить в Generic Postscript?
Большинство дешёвых принтеров кушают растр, так что с твоим PostScript заработает пара моделей от силы.
>В смысле, отвалятся? Никто не мешает любой принтер установить, как "Generic Postscript".Ну да, только вот что потом с ним делать?
Ни степлеры настроить, ни сортировку бинов, ни цвета, ни-хре-на!, ты собственно превращаешь свою мини типографию за >10К деньгами в dummy-пишмашку ...
А так то - да, не "отваливается" :(
Для дома может и пойдёт - у тебя вход один и выход один, степлеров нет, упаковщиков нет, планета Шелезяка, если что надо поменять раз в год - меняешь вручную прямо у принтака на морде ...
А у меня в кровавом - только из за этого!, походу наметился переход всеЯ печати "назад в форточки" :(
> Ну да, только вот что потом с ним делать?
> Ни степлеры настроить, ни сортировку бинов, ни цвета, ни-хре-на!, ты собственно превращаешь
> свою мини типографию за >10К деньгами в dummy-пишмашку ...С такими аппетитами - надо юзать тот софт который с этим сватали. Но это какой процент принтеров вообще? В сравнении ну с хотя-бы офисными лазерниками? Целые 0.01%? Ну вот они пусть и е...тся с своими степлерами.
А то может вам еще и на каком-нибудь доисторическом станке окаменелую встроенную XP заменить? Без документации на внутренности, да? А вот хрен - будете как зайчики сидеть с этим окаменелым калом мамонта. Как вариант можете конечно реверс заказать - но стоить это будет как новый станок, и вот смысл?...
>Но это какой процент принтеров вообще?Почти все принтеры с поддержкой PostScript. Внезапно.
установим виндового гостя
и будем печатать оттуда
Решение неэффективное. M$ идут к тому, что без банковской карточки и SMS работать не будет.Поэтому, нативные драйверы и системы гораздо полезнее и пригоднее.
> Решение неэффективное. M$ идут к тому, что без банковской карточки и SMS работать не будет.
> Поэтому, нативные драйверы и системы гораздо полезнее и пригоднее.Самое прикольное будет если майки еще и на Linux как ядро перейдут. Получится знатный pkunzip.zip.
Зачем, а главное, ̶н̶а̶ для чего?
> Зачем, а главное, ̶н̶а̶ для чего?Чтоб свалить затраты по кодингу на сообщество на 90% и пойти стричь купоны, например. Разрабатывать ядро и обвес единолично - при том что ядро сильно хуже получилось, вот реально на ... чего? Капиталисты - ребята жадные, абажур уже вон :). А изначально то - был облаком для запуска дотнет приложух...
> пойти стричь купоны, напримерКупоны они и так замечательно стригут.
А головняк по взаимодействию с «сообществом» на порядок дороже обойдётся.> ядро сильно хуже получилось
Ну это я регулярно слышу, правда, объяснить, чем хуже, никто не может.
Ну это мы такие скучные вещи, как совместимость, не обсуждаем (всякие Wine всерьёз обсуждать не станешь же).
> Купоны они и так замечательно стригут.С онлайн сервисов при том. Где от винды ничего кроме гимора - нет. А десктопная маздайка им, при том что 70% клиентов абажура линухи - ну, сами понимаете.
> А головняк по взаимодействию с «сообществом» на порядок дороже обойдётся.
Они на минуточку вкомитили в линух кучу добра для своего hyperv. Вот прям под GPL. Разок они решили конкретно всех отстебать - и в топ комитеров вышли в какой-то версии ядра. И где ваш бог теперь?
>> ядро сильно хуже получилось
> Ну это я регулярно слышу, правда, объяснить, чем хуже, никто не может.Ну я билданул 1 и тот же рпоект - в лине он раза в 3 быстрее собрался. Все что мне надо знать о работе кишков разных операционок. Я не маклауд, как раз после этого на линух и перешел! :)
> Ну это мы такие скучные вещи, как совместимость, не обсуждаем (всякие Wine
> всерьёз обсуждать не станешь же).Лично я просто перевел все свои воркфлоу на открытый софт. И теперь этот брейнфак - у других. А я могу с ехидной мордой говорить "как хорошо что все это - не у меня!". Правда я читер?! :D
>> установим виндового гостяи будем печатать оттуда
> Решение неэффективное.Дык ежу понятно, но что если оно - единственное рабочее? И куды-ж ты милок с подводной лодки то ? :-\
> M$ идут к тому, что без банковской карточки и SMS работать не будет.
Значит заведёте карту и SMS ... майки твapи конечно, но в своём онЕ - профессионалы ! :(
> Поэтому, нативные драйверы и системы гораздо полезнее и пригоднее.
И поэтому одним росчерком задней ноги упopoтого чебуpeка перечеркнуто всё, что удалось накопить? Ню-ню ... (С)
Для старого капса к примеру Ricoh даёт весь обвес, включая тупо PPD c которым ты можешь рулить принтаком на уровне форточки. Для нового ... официальный ответ: "юзайте старый или переходите на винду".
И что мне делать с новыми утюгами? Выкорчёвывать новый капс, вручную собирать старый в новом окружении и опакетить как old-good-cups.rpm? А если произойдёт (_|_) как $subject? Патчить лично самому и всё по новой?
Меня с работы попрут :/ и правильно сделают. Так что если не разрешится за этот год, в следующем - back to the f.... fortochki(C)
>> Поэтому, нативные драйверы и системы гораздо полезнее и пригоднее.
> И поэтому одним росчерком задней ноги упopoтого чебуpeка перечеркнуто всё, что удалось
> накопить? Ню-ню ... (С)Можно подумать, майки так не делают :). А я вот помню как они с MS SQL Embedded сделали - вот это. И рассказывали обломаным фортунщикам500 в саппорте что ни....т что им делать. Морды у них были, конечно, интересные. У представителей мегакорпов ессно. Классно майки придумали - так прикладывать мордой жирных котов, подсадив на продукт и дропнув его без замены вообще. Совместимость, хыхы :)). У майкрософта совместимость - только с парой вещей: зарабатыванием бабок и перекладываением своих проблем на других.
> Там не всё так просто. Она его сначала купила, а потом выкинула на мороз.
> Но бывший разраб почему-то стал работать исключительно в интересах apple.
> Например, запланировано выкидывание PPD и Kerberos. Плюс обратная
> совместимость ломается, старые принтеры скорее всего отвалятся.И где все эти планы, пардон, почитать? А насчет интересов эпла - как я помню как раз релизы под макось и стухли. Странный такой интерес.
Вот планы https://github.com/OpenPrinting/cups/wiki/RoadmapНа счёт релизов под макось не в курсе. Но судя по тому, как усердно работает этот товарищ https://github.com/michaelrsweet , от CUPS-а скоро ничего практически не останется.
>Но бывший разраб почему-то стал работать исключительно в интересах apple.Стоп, что за чушь! Бывший главный разработчик угрожал Эплу, если решат изменить лицензию на несвободную, то он сделает форк CUPS-а. Эпл купил CUPS, потом пытался перевести его на несвободную лицензию. Но потом передумал.
Я по изменениям сужу, а не по выкрикам отдельных личностей. PPD и Kerberos не нужны в первую очередь Аплу, а IPP Everywhere (который форсится сейчас в CUPS), внезапно, поддерживается исключительно в макоси. К тому же главному разрабу сейчас очень хорошо так платят, раз в одну калитку работает так, как до этого не работал внутри Аппла.Со стороны возникает стойкое убеждение, что Апплы всё это затеяли для того, чтобы не потерять репутацию, проталкивая непопулярные решения.
И да, поддержка макоси на уровне исходников никуда не делась. Её регулярно проверяют и исправляют.
>а IPP Everywhere (который форсится сейчас в CUPS), внезапно, поддерживается исключительно в макоси.На сколько я знаю IPP Everywhere поддерживается исключительно новыми моделями принтеров. Операционная система туту не причём. Ты в своих ответах передёргиваешь.
>новыми моделями принтеровСкажи это тому же HP, который под линуксом продолжает клепать PPD-шки. Поддержка IPP Everywhere кое-где есть, но только в макоси она рабочая.
Да ЙУХ с ним с HP :) ... Ты сходи к Ricoh и тем кто "минитипографии" скорее делает а не оффице-прЫнрэр ...
:-(Не, ну - когда то разродятся, PPD-шки годные в конце концов релизнули же ... но ведь счуко - в самом конце как выяснилось :(
Как только хоть что то в Линуксе начинает работать хорошо - происходит очередна техническая рЫволюция ... судьба такой видимо ... :)
> Я по изменениям сужу, а не по выкрикам отдельных личностей. PPD и
> Kerberos не нужны в первую очередь Аплу, а IPP Everywhere (который
> форсится сейчас в CUPS), внезапно, поддерживается исключительно в макоси.IPP это вообще Internet Printing Standard и "everywhere" как я понимаю лишь попытка так же иметь дело и с "локалочными" принтерами для стандартизации. Собссно дофига новых принтеров умеют IPP, что через сеть что over usb.
> К тому же главному разрабу сейчас очень хорошо так платят, раз в одну
> калитку работает так, как до этого не работал внутри Аппла.Ну работает и работает. Само по себе это наверное хорошо. Планы заменить PPD -> некие "printer app" вызывают вопросы. Вида "кто это будет кодить?" например.
> Со стороны возникает стойкое убеждение, что Апплы всё это затеяли для того,
> чтобы не потерять репутацию, проталкивая непопулярные решения.Если эпл сделает что-то радикально нестандартное, опять же, "кто это будет кодить?". В смысле - дрова для принтеров и проч?
>Собссно дофига новых принтеров умеют IPPУмеют, но не все и не всё. Тот же доступ к доп. настройкам принтера пока исключительно через PPD. В теории можно, конечно, покрутить тот или иной атрибут через командную строку (если драйвер позволяет), но через гуй никак вообще. По всякие отступы и прочие тонкие настройки я вообще промолчу. Их нет.
>Ну работает и работает. Само по себе это наверное хорошо. Планы заменить PPD -> некие "printer app" вызывают вопросы. Вида "кто это будет кодить?" например.
Кодить должны будут производители принтеров. Они и гуй подвезут для тонкой настройки. Но только под макось, естественно. Под линукс скорее всего будет по остаточному принципу, возможно кто-то сам запилит на коленке.
>Если эпл сделает что-то радикально нестандартное, опять же, "кто это будет кодить?". В смысле - дрова для принтеров и проч?
У эппла такой проблемы нет вообще. Под них производитель, если что, прогнётся. К тому же проблемы со старыми принтерами для макосников не существует. Их поддержку можно спокойно выкидывать, сильного недовольства это не вызовет.
> тот или иной атрибут через командную строку (если драйвер позволяет), но
> через гуй никак вообще. По всякие отступы и прочие тонкие настройки
> я вообще промолчу. Их нет.А вон те "printer app" не решат это?
> Кодить должны будут производители принтеров. Они и гуй подвезут для тонкой настройки.
Вопрос в том считают ли они себя должными...
> Но только под макось, естественно. Под линукс скорее всего будет по
> остаточному принципу, возможно кто-то сам запилит на коленке.
> У эппла такой проблемы нет вообще. Под них производитель, если что, прогнётся.Судя по поддержке железок эпплом "от эппла, или никак" - это не факт.
> К тому же проблемы со старыми принтерами для макосников не существует.
Это как? Эппл вроде не производит принтеры...
> Их поддержку можно спокойно выкидывать, сильного недовольства это не вызовет.
Они что, совсем ничего не печатают?
Где я как то работал все художники были на ябблах и с полным фаршем от адоба.
На принтер в оффисе они конечно что то выгоняли, но то так - скетчи ...
Финальный результат печатался в типографии и там была винда, тчк.Теперь статус кво зацементируют, пингвин в такие места не проникнет.
Ну кто первый скажет что этого нам и не надо? ;-)))
> Где я как то работал все художники были на ябблах и с
> полным фаршем от адоба. На принтер в оффисе они конечно что то выгоняли, но то так
> - скетчи ...Вот лично мне - похрен. Ибо мини типографии весьма нишевой кейс по сравнению с - пардон муа - офисными принтерами, которые меня интересуют намного больше, это куда популярнее. А все эти креативщики сомнительной ориентации - ваша прерогатива.
> Финальный результат печатался в типографии и там была винда, тчк.
> Теперь статус кво зацементируют, пингвин в такие места не проникнет.
> Ну кто первый скажет что этого нам и не надо? ;-)))Какой ужас, 0.01% кейсов не прокатит. Зато проникнет - в дофига других. Могу я сказать - ибо мне реально похрен на это. А вон там на доисторическом станке - окаменелый WinXP. И с ним оно и уйдет в утиль. Можно с таким же успехом меня этим пытаться троллить. Но свои то жедлезки я буду фигарить - на линухе. Забыв вас спросить кто, что и где.
>А вон те "printer app" не решат это?printer app это всего лишь фреймворк. Его и должен использовать производитель для написания драйвера. Так что старые модели принтеров отвалятся, особенно те, у которых всё в виде бинарей было. Кое что, возможно, кое-как получится запустить через PPD, сделав "эмуляцию" старого CUPS в виде отдельного printer app.
>Вопрос в том считают ли они себя должными...
Там где сулит доход, там и будут напрягаться. Это в первую очередь макось, конечно. Ну а если отвалятся снятые с поддержки принтеры, то они только рады будут. Сейчас жизненный цикл принтеров не велик.
>Судя по поддержке железок эпплом "от эппла, или никак" - это не факт.
Ну с HP они вроде сотрудничают. Будет несколько моделей, которые освящены (ТМ) Великим (ТМ), на этом и успокоятся.
>Это как? Эппл вроде не производит принтеры...
Зато наклеечки активно лепят. Могу ошибаться, но там вроде некая сертификация имеет место быть. Не хочешь терять покупателей - проходи.
>Они что, совсем ничего не печатают?
Если в новой макоси овталится какой-нибудь старый HP, то они с радостью побегут за новым с заветной наклеечкой. Пользователи аппла наоборот, радуются, когда что-то старое отваливается.
> написания драйвера. Так что старые модели принтеров отвалятся, особенно те, у
> которых всё в виде бинарей было.Если у кого-то что-то было в виде бинарей, "contact your support", имхо. Если вам левел саппорта не нравится - не покупайте это у тех! Юзайте иные ос. Ставьте выделенный комп с древним линухом/виндой/чемтамеще под свой антик. Или что там вам удобно. С чего ради это все должно #$%ть кого-то еще - я не понимаю. Это - ваши отношения с блобмейкером на двоих.
> Кое что, возможно, кое-как получится запустить через PPD, сделав "эмуляцию"
> старого CUPS в виде отдельного printer app.Возможно. Но я вообще не понимаю почему кто-то кроме покупана и производителя должен париться вопросами блобов. Это их отношения на двоих. Остальные к этой схеме никак не относятся.
> Там где сулит доход, там и будут напрягаться. Это в первую очередь
> макось, конечно. Ну а если отвалятся снятые с поддержки принтеры, то
> они только рады будут. Сейчас жизненный цикл принтеров не велик.На лично мой вкус - я не парюсь участью пожирателей блобов. В линухе они никогда не были велкам и ошиблись дверью, называя вещи своими именами. Так что если эти орлы вместе с своими типографиями за цать килобаксов куда-то свалят - а о них кто-то будет скучать? И почему? От них на уровне экосистемы ничего не было кроме гимора да кача прав. И потеря - она в чем и для кого?
> Ну с HP они вроде сотрудничают. Будет несколько моделей, которые освящены (ТМ)
> Великим (ТМ), на этом и успокоятся.Ну как бы у эпла всегда с поддержкой железа - джопла. Это заставляет их до некоторой степени любить стандарты. Правда, они взяли моду периодически пытаться стать стандартом-де-факто и денег за лицензирование обдирать, но в целом эти инициативы у них - обламывались, и в последнее время стали проблемой их юзерей. Что их юзеры будут делать с форматами-выкидышами типа HEVC я вообще не знаю.
> Зато наклеечки активно лепят. Могу ошибаться, но там вроде некая сертификация имеет
> место быть. Не хочешь терять покупателей - проходи.Хызы, на что они там наклеечки лепят, но с поддержкой железа у них традиционно - хреново.
> Если в новой макоси овталится какой-нибудь старый HP, то они с радостью
> побегут за новым с заветной наклеечкой. Пользователи аппла наоборот, радуются, когда
> что-то старое отваливается.Ну вот и отлично - все вроде довольны. А плохо это кому и почему? Каким-то м...кам с блобами на лине? Ой, а можно эту категорию просто - переработать на удобрения, например? Так всем кроме них лучше будет.
>не нравится - не покупайтеА если макось не нравится? Насильно в себя пихать?
>вопросами блобов
Я тебя удивлю, но открытых принтеров нет, не было и не факт, что будет. К тому же открытость не гарантируют, что прямо побегут пилить под них драйверы.
>я не парюсь участью пожирателей блобов.
У тебя нездоровая фиксация на блобах. Открытое тоже отвалится и, думаю, ты пилить его не побежишь.
>эти инициативы у них - обламывались
Почему же? Не покупали что ли?
>Ну вот и отлично - все вроде довольны.
Пользователи макоси это не все, далеко не все. И у них весьма специфические взгляды на удовольствие.
> IPP Everywhere (который форсится сейчас в CUPS), внезапно, поддерживается исключительно в макоси.Ты это, с веществами поаккуратнее ... в Windows оно с Sever 2012 или даже раньше.
Но оно решает не мою проблему, мне оно сбоку :-\
Что, прямо HP без драйвера все печатают?
А что, под винду хоть когда то с драйверами были проблемы?!?! 8-о
Тут вам не здесь!(С)Но у меня целая инфраструктура на Линуксе снабжает бумажками тех, кто на e-Document галочку не поставил, и то, что по закону должно прийти бумажкой ...
Если проблему не разрешат - у меня вилочка, старые RHEL-ы больше не комплианЦЭ - с ними аудит не пройду, а новые ... читай выше :(И вот можете тут изголяться хоть до уср*** про 0.01% - но я когда на рхел конфе вопрос задал - пол зала лапки подняло, типо "миту!" ... процентов 5-10%, но мне в цифирь пофиг, достаточно что лично мне на коврик ~~* ...
В общем - даже если это и 0.01% это МИНУС 0.01% ... на ровном месте. С подачи лучших друзей опЫн сорса :-\
>Как сказал человек, непосредственно участвовавший в проекте CUPS:
>С общей точки зрения безопасности вся система Linux в ее нынешнем виде представляет собой просто бесконечную и безнадежную мешанину дыр в безопасности, ожидающих, чтобы ими воспользовались.Переходим на OpenBSD, господа.
Но.. есть же Hardened Linux!
Это костыли-подпорки. OpenBSD изначально разрабатывался с оглядкой на безопасность. Hardened Linux лишь пытается ослабить существующие дырени.
> Это костыли-подпорки. OpenBSD изначально разрабатывался с оглядкой на безопасность. Hardened
> Linux лишь пытается ослабить существующие дырени.При том было дело - кадр из NetBSD прошелся по менеджменту памяти в опенке, позволявшем всего-то гуесту - память ядра хоста запатчить нафиг. Потому что в менеджмент страниц памяти безопасТнички не сумели. Такая вот безопасТность.
И кстати как они защищаться от запуска левых программ CUPS удумали? Типа, не будем запускать CUPS - и все хацкеры обломятся?
Приплёл единичный случай, молодец. Напомню, что netbsd более была подвержена meltdown/spectre, нежели netbsd. Netbsd не ориентирована на параноидальную безопасность и поэтому делает послабления для производительности.Сервисы в openbsd по умолчанию не стартуют после установки. Там просто нет "поставил и из коробки работает". Поставил – настрой, пропиши нужные сервисы в запуск. Сложно не заметить в таком случае сервис для удалённого управления.
А вообще, изначально я тут не конкретно cups обсуждал. Обсуждал общий комментарий разработчика cups о linux в целом.
> Приплёл единичный случай, молодец.Зато какой! Да еще и фикс с обсираком. Там нетбсдшник и прошелся по компетентности этих господ. За дело при том - так обделаться в таких вопросах и что-то блеяьт про секурити - ну, знаете, а господа точно уверены в том что могут deliver то что они promised? Или - с такими факапами - это wishful thinking?!
> Напомню, что netbsd более была подвержена meltdown/spectre,
> нежели netbsd. Netbsd не ориентирована на параноидальную безопасность и поэтому делает
> послабления для производительности.Вы там совсем куку? Когда виртуалка МОЖЕТ ПРОРУБИТЬСЯ ИЗ ГУЕСТА В КЕРНЕЛМОД (!!!!) хоста - какие, нахрен, спектры и мельдонии? Зачем? Если можно вообще весь хост нашару запатчить прям в кернеле - потому что высокобезопасные упыри не умеют видите в права страниц?! :D
Простите, но это такая мелочь. Типа, въехал в бетонную стену. Взорвался бегнзобак и отвалился номер. И тут вы такой пиндите что без номеров ездить нельзя... да, это конечно главная проблема при вон тех уровнях факапов :D
> А вообще, изначально я тут не конкретно cups обсуждал. Обсуждал общий
> комментарий разработчика cups о linux в целом.А тут, вот, настал момент обсудить - этого разработчика и его секурити скиллы... если это чудило запускает командлайн присланый ремотой, может, ему в зеркало для начала посмотреться?!
Чел, отключи тогда все инструменты безопасности у себя. Вообще все. Ведь если будет хотя бы одна уязвимость, эти защиты не имеют смысла. Сгорел сарай – гори и хата. Всё логично, пусть горит.
А вот, если на обычном профиле добавить флаг set и к CFLAGS="-fstack-protector-strong" Этого может быть достаточно или нужен обязательно закаленный профиль? (GCC пересобранный, как бы это само собой разумеющееся.)
cet**
> А вот, если на обычном профиле добавить флаг set и к CFLAGS="-fstack-protector-strong"
> Этого может быть достаточно или нужен обязательно закаленный профиль? (GCC пересобранный,
> как бы это само собой разумеющееся.)Очень интересно, как "stack protector" может помочь от запуска дурной приблудой левых программ, ибо распарсили, вот, странного - и не менее странное захотели. Оправдываешь ник квалификацией под стать?
А хз, как это должно быть,потому и спрашивал. Делал по хендбуку и искал кастомные маке.конф. Вот получилось у менч, то что получилось. Знаю, что с этими флагами собранные компиляторы собирают пакеты жесче относясь к ошибкам. Так что возможно эту ошибку в коде он бы завернул куда надо и пакет получился няшный.
> Но.. есть же Hardened FreeBSD!// fixed.
>> Но.. есть же Hardened FreeBSD!
> // fixed.Фиксик из тебя так себе...
Она называется -- HardenedBSD.
У меня называлась SCORE :) Подавали даже :)
>позволяющих удалённо атаковать ... и некоторые другие BSD-системы
1. Cups в OpenBSD по умолчанию отключен, в отличие от популярных дистрибутивов Linux.
2. Комментарий разработчика cusp (который написан выше) относится к Linux в целом, а не только конкретно к cups.
Ну т.е., нет печати - нет уязвимости. Ясно.
Чего проигнорировали 2 пункт? Я изначально про него имел в виду.
ну т.е. всем пора на винду?
а сам то разработчик где шарится?
В OpenSUSE выключен.
>С _общей_ точки зрения безопасности _вся_ система LinuxЧёрным по белому: здесь про Linux в целом.
Ну так где она та самая тихая гавань?
мы ж все про это
Чел, есть грань между смешным троллингом и не смешным. На твой вопрос ответ есть. Не вижу в твоём комментарии чего-либо смешного.
Так это твоя личная никого не интересующая проблема.
Бежала за вами чтобы сообщить, что вы мне безразличны...
Ну в OpenBSD ничего про безопасность нет. При этом её не используют и аудитов не прооводят.
> Ну в OpenBSD ничего про безопасность нет.К сведению, она была защищена от meltdown/spectre до того, как эти уязвимости были обнаружены. Так что, ваше заявление пустое.
>до того, как эти уязвимости были обнаруженыTime machine?
> Переходим на OpenBSD, господа.После чего облажаемся запустить там сабжа, и задекларируем это победой безопасности - ведь если принтеры не работают, то злые хакеры ничего с этим поделать не смогут.
В "базовой поставке" там ничего нет, поэтому система и безопасна. Но базовая поставка там - не для работы, а для заявлений о безопасности.
>В "базовой поставке" там ничего нетВы хоть проверяли?
Почему не на винду?
Объяснять надо?
Так-так-так, посмотрим как патчи
- else
+ else if (*ipp == '_' || *ipp == '.' || *ipp == '-' || isalnum(*ipp))
{
- if ((attr = ippFindAttribute(supported, "printer-requested-job-attributes", IPP_TAG_KEYWORD)) != NULL)
+ if ((attr = ippFindAttribute(supported, "printer-requested-job-attributes", IPP_TAG_KEYWORD)) != NULL && ippValidateAttribute(attr))Ого, атрибуты надо оказывается проверять!
C 92.5% C++ 4.1%, а не, не обязательно.
Мы же тут профессионалы.
Входные данные не проверяют чуть ли не все девопсы. За кодеров меньше знаю, но у них ооочень часто смущённое молчание или громкое возмущение при упоминании необходимости поднапрячься и проверять прилетающее из вселенной на вход в их программу.
У девопсов входные данные проверяет AF (например aws waf) и миллион правил к нему.
Полагаю, коль скоро в новости нет упоминания о MacOS, данные системы не подвержены обсуждаемой уязвимости?
Очень даже, скорее всего. ;)
отнюдь. подвержены как и все остальные, использующие CUPS
плодово-ягодные обновились ещё 18-ого сентября: https://www.cisa.gov/news-events/alerts/2024/09/18/apple-rel...
> плодово-ягодные обновились ещё 18-ого сентября:
> https://www.cisa.gov/news-events/alerts/2024/09/18/apple-rel...Т.е. сидели цать лет с вулном как и все остальные - и с мылом в ж... сделали патч :). Если заменить маркетинговый булшит на человеческий.
И это только верхушка айсберга под названием "remote shell" через систему печати, который позволяет через жабаскрипт, загружаемый с сайта, гулять по локальным машинам.
вот я хожу по сайтам с отключенными скриптами.
это правильно?
В браузерах есть что-то типа своего встроенного avahi. Эту хрень тоже надо отключить.
> вот я хожу по сайтам с отключенными скриптами.opennet это один сайт
Кто-то пояснит каким образом левая строка
*FoomaticRIPCommandLine: "echo 1 > /tmp/I_AM_VULNERABLE"будет выполнена на системе жертвы?
При печати выполнится же.
Чем? Есть код, который запускает всё что ему пропишут в фуматик строку? По-моему это большая проблема чем неточный парсинг.
Так он и должен запуститься любой. Там же PostScript и куча других скриптов, чтобы документ из одного формата в преобразовать в тот, который будет кушать принтер.
> Чем?Написано ведь,
Указанные в параметре FoomaticRIPCommandLine shell-команды выполняются как есть.
то есть выполняются в шелле, да, да, вызвал exec и пихнул туда значения данного параметра. Парсер все правильно отпарсит, и его не волнует, что и как там интерпретирует шелл.
> Указанные в параметре FoomaticRIPCommandLine shell-команды выполняются как есть.
> то есть выполняются в шелле, да, да, вызвал exec и пихнул туда значения данного параметра.
> Парсер все правильно отпарсит, и его не волнует, что и как там интерпретирует шелл.Как вы яхту назовете... вот во истину RIP какой-то, подтянуть команды с ремоты, выполнить их без спросу, бжад!
Я тебе маленький секрет открою. Этот код писался в те времена, когда ничего не знали про driveless-печать и IPP Everywhere. Файлик подкидывался в /etc/ под root-ом и никто не мог его модифицировать. Уже с потом, спустя лет 10, один гений решил, а чего бы не генерировать его на лету на основании запроса пользователя. Удобно же, любой принтер может печатать сразу и без настройки. Но как всегда аудит никто не проводил, но премию, думаю получили за столь "гениальное" решение.
> Уже с потом, спустя лет 10, один гений решил, а чего бы не генерировать его на лету на основании запроса пользователя.А чему вы удивляетесь, у вас такие же гении придумали микрокод для ЦПУ.
Разупорись! Микрокод придумали как раз таки почти гении...
Только вот спорим - ты не знаешь что его придумали во второй половине 1960-ых :) И тогда это было ППЦ как круто. Да оно и сейчас круто как идея ... ну и "так себе" в виде реализаций :)
Население растёт а количество IQ на планете - константа ;-)
А скоро (уже?) его ещё и с AI шарить придётся :-D
> Только вот спорим - ты не знаешь что его придумали во второй половине 1960-ых :)а спорим, что вы мой комент в соседней новости про запуск программы П в программной эмуляции архитектуры Б на аппаратной архитектуре А - не читали.
> Да оно и сейчас круто как идея ... ну и "так себе" в виде реализаций :)
вы таки не поняли "гениальности" создателей микрокода. Ну как выяснилось они и не создатели вовсе никакие, они "внедрители".
> А скоро (уже?) его ещё и с AI шарить придётся :-D
я посмотрю, что вы там шарить будете, когда "Я" перестану "шарить" инфу в Ынтернете!
CommandLine - ну вот явно написано, я не пойму почему это бага? это фича - RCE как фича. Это же классика, зачем использовать программный интерфейс (API, библиотеки) давайте сразу запустим в шелле подпрограмму.
Чтобы "использовать программный интерфейс (API, библиотеки)" - это всё нужно спроектировать, протащить через "комитеты", написать и отладить. Ты это сделал? Нет. И яббл нет. И вендоры нет. И ... нет!А "запустим в шелле подпрограмму" - написал какой то студень 20 лет назад и оно 20 лет работало :)
И заметь - "тыщщиглаз" как то н***я^W ничего не заметили, хотя казалось бы? :)А вообще - "Будь мужиком, напиши свой коТ!"(С) (ну там драйвер в оригинале, да :) )
> это всё нужно спроектироватьименно, и не как в соседней новости про стандарты wifi.
> И заметь - "тыщщиглаз"
Барашков много, а волк порой бывает один, и здравый смысл говорит - как так, их же много.
> А вообще - "Будь мужиком, напиши свой коТ!"(С) (ну там драйвер в оригинале, да :) )
ой, ой, предполагаю, что этот комент оставила женщина, ибо мужик в мужском сомневаться не должен. Я бы привел конкретное доказательство сего утверждения, но оно не пройдет модерацию.
>Я бы привел конкретное доказательствоФотка с приложенной линейкой? Или чего? :-)
Не очень понятно, как можно эксплуатировать эти уязвимости.
В пейцджерах тоже думали как же эксплуатировать уязвимость ими же никто не пользуется. А потом придумали.
Там неглупые, хорошо мотивированные и "с низкой социальной ответственностью" придумывали.
В мире постренном человеками у таких обычно - получается :-/
Почему-то .. :)
Как минимум надо cups-browsed поставить, который в большинстве случае нафиг не нужен.
Не зря у меня cupsd отключен.
А ты его ставил-то зачем? Раз принтера нет.
> А ты его ставил-то зачем? Раз принтера нет.Очевидно по умолчанию был включен.
Я всегда отключаю Default Print Service в Android, чтобы избежать возможных проблем.
Вообще никак не связано.
Связано с печатью. Когда там найдут удалённо эксплуатируемые уязвимости, выключать уже поздно будет.
Если ты пользуешь андроЕд ... то уже поздно, даже с выключенной печатью :)
Яббл не лучше, но это - другое!(С) :)
Вы бы для начала посмотрели для чего оно вообще и как работает.
Для IPP в андройд приходится ставить дополнительные приложения.
Андроид отбрасывает любые входящие подключения бай дефолт.
> но затем последовала затянувшиеся на 22 дня переписка с разработчиками проекта OpenPrinting c попыткой убедитьВот так всегда. IT-индустрия это вечный бардак из технологий.
Ну конечно нигде больше бардака нет, а вот в айти бардак так бардак. Смешно.
Он не говорил, что нигде больше нет. Но ты сказал, и сам посмеялся над сказанным. Давно сам с собой разговариваешь? К специалистам не пробовал обращаться, чтобы снять эти симптомы?
Если везде бардак то зачем говорить что он есть в айти? Если он везде? Значит он говорит только про айти. Есть такая наука логика.
> Вот так всегда. IT-индустрия это вечный бардак из технологий.Это не в IT. Это вообще у людей.
У нас вот MacOS обновили... Куча всего отъехала. На вопрос - тестирование всё это пропустило - был ответ: занимается только один человек.
Эвона во как человек оправдывает своё разгильдяйство. Ну и таких историй полна планета и тысячелетия.
Как же так, это же яблоко за кучу бабла, где фсе вылизано?
Не все понимают как, а после не все могут собрать команду людей, которые будут делать хорошо. Это надо с кадрами работать, а это уже не про ИТ, например. Тяжело, скушно.Очень часто ситуация как у Мелкомягких: бах, бах и скорее в продакшн. Причём Мелкомягкие больше по размеру и сами и по числу пользователей, чем Огрызки.
И набегает куча охочих без напряга жить легко и недушно, да просто люмпменов, шабашить халтуру.
> У нас вот MacOS обновили... Куча всего отъехала. На вопрос - тестирование
> всё это пропустило - был ответ: занимается только один человек.Они очень спешили законопатить дырку с принтерами, извините :). Не до тестирования было - потому что с известным вулном саппорты вскоре - порвут, если ничего не предпринять. Так что нате на лопате!
Целесообразность определяет дядя продажник, а не дядя айти директор. Так что если покупают значит можно расслабить булки.
>Вот так всегда. IT-индустрия это вечный бардак из технологий.Если бы программисты строили дома ...(С) :)
Но с другой стороны - самая быстрорастущая отрасль ... ну как авиация в 1920-е годы прошлого века, тогда 5 летний самолёт был уже набором морально устаревших костылей. И только к 1980-ым стабилизировалось.
Вот и у нас, все уйдет в облака, сверху намажут AI-я и будет "это всё суета и не ваше собачье дело!" :)
Когда в системе возник loopback интерфейс, это было жестокое разочарование в разработчиках.Сколько всего было с входом по сети и у M$ и в свободных системах, но - нет, мыши колются и жрут кактус.
У меня комп торчит прямо в интернет. Меня поломали?
Интересно ... А пафосу то было !!!
"ВСЕ ГНУЛАПЧАТЫЕ и БЗДЮКИ", а оказался CUPS ...
Во FreeBSD он вообще в базовую систему не входит.
Хм... т.е
> В дистрибутивах проблема остаётся неисправленной ... Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.Этого мало?
Понятно что всякие никомуненужные васянодисты не затронуты (или затронуты, но всем профиг).
"На сарае написано №;%, а там дрова"Проблема непосредственно в CUPS. И если Дениска установил руками CUPS в BolgenOS, означает ли что проблема в самом BolgenOS ?
> "ВСЕ ГНУЛАПЧАТЫЕ и БЗДЮКИ", а оказался CUPS ...
> Во FreeBSD он вообще в базовую систему не входит.А Linux это вообще - ядро. Не говоря о том что GNU/Linux означает юзермод + ядро и CUPS в это все явно не входит сам по себе. Совершенно отдельный внешний компонент.
Хотя технически все равно наброс неплох.
Без CUPS ни один нормальный принтер не заведётся.
> подняв публичный хайпКак это перевести на русский язык?
Устроив нехилый кипишь
>В качестве обходного пути защиты до установки обновления можно закрыть для внешних сетей доступ к UDP-порту 631Я думал, что он только на loopback слушает:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-27 15:34 MSK
Nmap scan report for <IPv4, который я вижу в ip addr | grep -P "inet (\\d+.\\d+.\\d+.\d+/\d+) brd \\d+.\\d+.\\d+.\d+ scope global dynamic" >
Host is up (0.000052s latency).
All 131072 scanned ports on <IPv4, который я вижу в ip addr | grep -P "inet (\\d+.\\d+.\\d+.\d+/\d+) brd \\d+.\\d+.\\d+.\d+ scope global dynamic" > are in ignored states.
Not shown: 65536 closed udp ports (port-unreach), 65536 closed tcp ports (reset)
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hopsOS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5.13 seconds
Ой, блин, я же его прибил. Правильно так:631/udp open|filtered ipp
Ну и что мне теперь делать, биос выпаивать и в программатор вставлять? Да нас всех уже ломанули!
> Ну и что мне теперь делать, биос выпаивать и в программатор
> вставлять? Да нас всех уже ломанули!При аварии - выдерни шнур, выдави стекло (с) полезные советы в транспорте.
>From a generic security point of view, a whole Linux system as it is nowadays is just an endless and hopeless mess of security holes waiting to be exploited.Ну мысль неоригинальная, ту же мысль ещё rootkowska много лет назад высказала, ещё в нулевых.
Это от кого, от разработчиков CUPS? Вот только конкретная уязвимость в кроссплатформенном CUPS. Тут, как говорится, нечего пинять,...
Один вульн нашли десять оставили.
>https://www.evilsocket.netКстати, на этом сайте включён ECH.
Всё, организацию CERT я не уважаю. Утечка произошла через их каналы.
в бубунту тока что обновление купса приехало
Кто виноват в утечке информации об уязвимости?
Вот у нас бы за такое 283
Мимо.
Опять админы которые не читали мануал и юзали дефолтный конфиг и дефолтные опции попали.# sockstat -s -S -v -w | grep 631
root cupsd 51635 4 tcp6 ::1:631 *:* LISTEN rack
root cupsd 51635 6 tcp4 127.0.0.1:631 *:* LISTEN rack
root cupsd 51635 7 tcp4 172.16.0.254:631 *:* LISTEN rack
(тут нет UDP, кто не понял)cups-browsed - жуткая фигня которая за собой тянет тонну зависимостей, ради реализации того на что надо 1-4к строк на С.
Исправление для cups-browsed просто впечатляет:- [with_browseremoteprotocols="dnssd cups"]
+ [with_browseremoteprotocols="dnssd"]
Теоретика. Снова теоретически допустимая возможность вероятности.
Мда.
А если фаервол UFW активен с настройками "Default: deny (incoming), allow (outgoing), disabled (routed)", эта уязвимость не страшна?