News Linux News der Woche: Sicherheitslücke in CUPS, Cosmic-Desktop von System76

[netzgestaltung]

@jodd2021

sudo apt-get update && sudo apt-get upgrade

Also einfach Update machen und in der Liste der Pakete wird vermutlich Cups vorkommen

 

[Randnotiz]

Wie/wo sieht man das?

Für Mint Debian wurde das Update auch schon ausgerollt.
Habe die Pakete vorhin in der Auflistung gesehen.

 

[jodd2021]

joerg@joerg-MSI-neon:~$ pkcon update
Aktualisierungen werden abgerufen       [=========================]        
Fertig                                  [=========================]        
Keine Pakete benötigen eine Aktualisierung zu eine neueren Version.

System war/ist auf den aktuellen Stand. Sollte also in einen der letzten Updates enthalten gewesen sein.

Ergänzung (Montag um 08:47)

cat /var/log/apt/history.log

Das hab ich gesucht, muss nur noch den passenden Eintrag finden.

 

[gimmix]

 

[netzgestaltung]

Hier gibts eine detailierte Anleitung für Ubuntu: https://ubuntu.com/blog/cups-remote-code-execution-vulnerability-fix-available

 

[jodd2021]

Start-Date: 2024-09-27 00:04:24
Upgrade: libcups2:amd64 .... u.s.w.

 

[SVΞN]

Das wird dann nämlich mein Haupt-Linuxsystem

Willkommen im Club. Sehr gute Entscheidung. EndeavourOS ist auch meine erste Wahl.

 

[HaZu]

Ich brauche CUPS nicht mal, da ich keinen Drucker habe.

Bzw. ich habe einen, nutze den aber eher zum scannen, denn der schwarze Toner bringt nichts auf Papier.
Epson-Elektroschrott halt.

Habe den Service zumindest schon mal jetzt auf meinem Arbeitsrechner deaktiviert, weil joa... keine Verwendung dafür.

Ich werd cups-browsed auch weiterhin deaktiviert lassen. Benötige keine Discovery. Außerdem werde ich mir den hardening guide nochmal anschauen
https://openprinting.github.io/cups/doc/security.html
Schadet sicher nix, auch im lokalen Netzwerk.

 

[Tanzmusikus]

@SVΞN Immer noch?
Ich hab mich damals (Nov. 2022) u.a. von Dir anregen lassen, EndeavourOS mal auszuprobieren. 😊
Hat sich nun bewährt die letzten 22 Monate. Gab natürlich auch Probleme, die bisher aber immer irgendwie/irgendwann lösbar waren. Oftmals dank der Hilfe der Maintainer bzw. dem Support im Forum. 👍

COSMIC wurde/wird auch von EndeavourOS getestet und soll später mal ein "Flavor" werden.

 

[SVΞN]

@SVΞN Immer noch?

Ja, nach wie vor.

EndeavourOS mit KDE Plasma 6.1.5, den KDE Frameworks 6.6.0 und KDE Gear 24.08.1.

Ich bin noch immer sehr zufrieden.

Liebe Grüße
Sven

 

[Don_2020]

Mal so eine Frage:

Was ist bei EndeavourOS besser als Debian 12 mit Cinnamon?

 

[Randnotiz]

Was ist bei EndeavourOS besser als Debian 12 mit Cinnamon?

Es ist Arch, woran sich alle Möchtegern-Pros aufgeilen.

Davon ab rollen Arch Distros halt und sind idR immer aktuell, selbst wenn manche wie Manjaro die Updates kurzfristig auch zurückhalten, verglichen mit Vanilla.

 

[Miuwa]

Was ändern die Patches jetzt eigentlich?

 

[Tanzmusikus]

Steht doch im News-Text.

Bezüglich DXVK -> siehe "Release-Notes".
Bezüglich CUPS -> siehe "Red Hat".
Bezüglich Custom Proton -> siehe "Github-Repository".

 

[Tevur]

"Rat Hat"

War das Absicht?

 

[jodd2021]

Frei übersetzt: Rote Hölle?

 

[Kuristina]

Rattenhut. 🙂 Ich find das sogar besser. Würde ich so lassen. ^^

 

[Pummeluff]

Ich werd cups-browsed auch weiterhin deaktiviert lassen. Benötige keine Discovery.

Ist bei mir schon seit Jahren so. Seit ein paar Jahren hab ich sogar Cups nur auf meinem NAS am Laufen. In den Clients steht dann nur:

/etc/cups/client.conf

ServerName      nas

Hat den Vorteil, dass man keinerlei Druckereinrichtung/Treiber auf den Clients benötigt.

 

[Miuwa]

Steht doch im News-Text.

Bezüglich DXVK -> siehe "Release-Notes".
Bezüglich CUPS -> siehe "Rat Hat".
Bezüglich Custom Proton -> siehe "Github-Repository".

Sorry, hätte konkreter sein sollen: Mir gings um die CUPS patch(-es). Hinter dem Redhat link steht nur was man zur mitigation machen kann. Nicht wie irgendwelche Patches (die es ja scheinbar schon gibt?) das Problem beheben.
Soweit ich den Blogartikel verstanden habe ist ja schon das grundsätzliche verhalten cups-browsed services problematisch. Per default kann sich jede Quelle die ein UDP-Paket and den PC/server schicken kann, als Drucker ausgeben und ohne interaktion mit dem Nutzer mehr oder weniger beliebige Daten dort ablegen, die dann ausgeführt werden können.

Und zumindest ein Teil des ganzen Problems scheint ja schon lange bekannt zu sein aber konnte wohl bisher nicht gefixed werden

So apparently foomatic-rip was a known issue (confirmed by the CUPS devs), but somehow it has not been fixed for … decades? Why is something that allows arbitrary commands in a generally untrusted context not considered a security issue worth fixing? I’ll tell you why! Because it’s very hard to fix. According to the CUPS developers:

… it is very difficult to limit what can be provided in the FoomaticRIPCommandLine line in the PPD file. REDACTED and the rest of the OpenPrinting team have been talking about ways to limit what can be done through Foomatic without breaking existing drivers - we can certainly recommend that people not use Foomatic, but there are likely hundreds of older printer models (before 2010) that are only supported through Foomati

EDIT: Quelle: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/


Für mich klingt das ganze nicht so, als könnte mand as mit nem einfachen Patch beheben, ohne gleichzeitig existierende Setups in ihrer Funktionalität einzuschränken. Daher meine Frage, was diese Patches genau machen, bzw. welche der CVEs genau geschlossen werden.

 

[Tanzmusikus]

War das Absicht?

Natürlich nicht. 🙃