CUPS-Sicherheitsproblem
CUPS-Sicherheitsproblem
Hallo,
in einer PC-Zeitschrift habe ich über Sicherheitsprobleme von "CUPS" gelesen.
Wie kann ich in Debian 9 prüfen, ob das Problem im Rahmen der Updates schon behoben wurde ?
Gruß ethylen
in einer PC-Zeitschrift habe ich über Sicherheitsprobleme von "CUPS" gelesen.
Wie kann ich in Debian 9 prüfen, ob das Problem im Rahmen der Updates schon behoben wurde ?
Gruß ethylen
Re: CUPS-Sicherheitsproblem
Changelogs, Security-ML, selbst prüfen, in einer anderen PC-Zeitschrift nachlesen, ….
Re: CUPS-Sicherheitsproblem
Mit Quellenangabe hätte man vielleicht rausfinden können, wovon die geschrieben haben, aber so kann man nur raten ...
Glaskugel meint: "vielleicht"*
[*] https://www.debian.org/security/2018/dsa-4243
-
- Beiträge: 5529
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: CUPS-Sicherheitsproblem
Hallo
Oder meint der TE das hier
https://www.heise.de/security/meldung/S ... 09794.html
mfg
schwedenmann
Oder meint der TE das hier
https://www.heise.de/security/meldung/S ... 09794.html
mfg
schwedenmann
Re: CUPS-Sicherheitsproblem
Heise hat doch nur vom bsi.bund.de abgeschrieben.
Na Ja - hat immerhin nur einen Tag gedauert
Na Ja - hat immerhin nur einen Tag gedauert
Re: CUPS-Sicherheitsproblem
Grundsätzlich hast du ja Recht, sich um so was zu kümmern. Aber man sollte die ganzen Sachen auch nicht überbewerten.ethylen hat geschrieben:18.07.2018 16:33:34Wie kann ich in Debian 9 prüfen, ob das Problem im Rahmen der Updates schon behoben wurde ?
Es gibt hunderte von Sicherheitslücken wird eine zugemacht öffnet sich die nächste. Wenn du die täglichen Meldungen
vom BSI [1] liest, lässt du entweder das Computern sein, oder du akzeptierst, dass man in einer grundsätzlich unsicheren Umgebung lebt. Schliesslich haben wir - zumindest als Privatanwender - mit Linux den Vorteil, das sich keiner für uns groß interessiert. Lohnt sich für Cyberkriminelle (noch) nicht.
[1]https://www.bsi.bund.de/SiteGlobals/For ... ubmit.y=12
Kannst dir ja die URL als Lesezeichen zu täglichen Lektüre setzten.
Re: CUPS-Sicherheitsproblem
Hallo,
die Quelle meiner Information ist die Computer-Zeitschrift "ct"; https://www.heise.de/security/meldung/S ... 09794.html
Deshalb möchte ich zusätzliche Informationen einholen, auch ob es diesbezügliche Updateś gibt.
Gruß ethylen
die Quelle meiner Information ist die Computer-Zeitschrift "ct"; https://www.heise.de/security/meldung/S ... 09794.html
Deshalb möchte ich zusätzliche Informationen einholen, auch ob es diesbezügliche Updateś gibt.
Gruß ethylen
Re: CUPS-Sicherheitsproblem
Machst du dir auch dir Mühe, mal die von mir verlinkten Seiten zu lesen?ethylen hat geschrieben:19.07.2018 09:15:40Deshalb möchte ich zusätzliche Informationen einholen, auch ob es diesbezügliche Updateś gibt.
Da steht alles, was du wissen willst, auch dass es ein Patch gibt
Re: CUPS-Sicherheitsproblem
… er macht sich ja nicht mal die Mühe, seinen Link auf Funktionsfähigkeit zu überprüfen ….
Re: CUPS-Sicherheitsproblem
Hallo,
leider habe ich versäumt, meinen Link zum Heise-Artikel auf Funktion zu prüfen, werde beim nächsten Mal sorgfältiger sein.
Entschuldigung !
für geier22
Den Link zum www.bsi.bund aber ich geöffnet, aber keine Information gefunden/ gesehen, wie ich das in Debian prüfen kann.
Vielleicht liegt es auch an meinen eingeschränkten Kenntnissen.
Gruß ethylen
leider habe ich versäumt, meinen Link zum Heise-Artikel auf Funktion zu prüfen, werde beim nächsten Mal sorgfältiger sein.
Entschuldigung !
für geier22
Den Link zum www.bsi.bund aber ich geöffnet, aber keine Information gefunden/ gesehen, wie ich das in Debian prüfen kann.
Vielleicht liegt es auch an meinen eingeschränkten Kenntnissen.
Gruß ethylen
Re: CUPS-Sicherheitsproblem
Aber gelesen hast du schon, was in der Heisemeldung steht?ethylen hat geschrieben:19.07.2018 19:13:13leider habe ich versäumt, meinen Link zum Heise-Artikel auf Funktion zu prüfen, werde beim nächsten Mal sorgfältiger sein.
Entschuldigung !
Da ist nämlich ein Link drin versteckt (der rot unterstrichene Text), den kann man anklicken (trau dich ruhig), und da steht dann wirklich, was los ist, inklusive der Stellen des Quellcodes, die den Fehler beinhalten.Den
Entdeckern der Lücken von Gotham Digital Science zufolge sollen aber nur Systeme bedroht sein, bei denen man die Konfigurationsdatei cupsd.conf ohne Root-Rechte verändern kann. Linux-Distributionen des Red-Hat-Universums sollen daher in der Standardeinstellung nicht betroffen sein. (des)
Re: CUPS-Sicherheitsproblem
Hallo MSfree,
die Heise-Meldung habe ich gelesen und auch den Link zu den Entdeckern geöffnet.
Leider sind meine IT-Kenntnisse begrenzt und deshalb konnte ich den Artikelinhalt nicht umsetzen.
Zwar bin ich seit längeren ein (überzeugter) Linux-Nutzer, leider ohne weitgehende IT-Kenntnisse.
Deshalb bin auch sehr über die Hilfen und Hinweise im Forum erfreut.
Werde aber auch an mir arbeiten, damit meine Anfragen und Beiträge an Qualität gewinnen.
Gruß ethylen
die Heise-Meldung habe ich gelesen und auch den Link zu den Entdeckern geöffnet.
Leider sind meine IT-Kenntnisse begrenzt und deshalb konnte ich den Artikelinhalt nicht umsetzen.
Zwar bin ich seit längeren ein (überzeugter) Linux-Nutzer, leider ohne weitgehende IT-Kenntnisse.
Deshalb bin auch sehr über die Hilfen und Hinweise im Forum erfreut.
Werde aber auch an mir arbeiten, damit meine Anfragen und Beiträge an Qualität gewinnen.
Gruß ethylen
Re: CUPS-Sicherheitsproblem
Nunja, wenn man die Erklärungen dort nicht nachvollziehen kann, ist das kein Beinbruch. Tatsache ist, daß sich der Fehler nur auswirkt, wenn die cupsd.conf von anderen ausser root beschreibbar ist. In diese Datei kann man nämlich Programme eintragen, die zur Ausführung kommen, wenn ein Druckauftrag reinkommt. Trägt man dort dann ein Programm ein, das einem root-Rechte verschafft, kann man das System durch die Hintertüre erobern.ethylen hat geschrieben:19.07.2018 19:54:44die Heise-Meldung habe ich gelesen und auch den Link zu den Entdeckern geöffnet.
Leider sind meine IT-Kenntnisse begrenzt und deshalb konnte ich den Artikelinhalt nicht umsetzen.
Theoretisch könnte natürlich root selbst dort auch Schadprogramme eintragen, aber welchen Sinn hätte das? Wer bereits root ist, braucht keine Hintertür mehr, ausser er will sich den Zugang zu dem System auch in Zukunft sichern, wenn er vielleicht bei der Firma schon gekündigt hat/wurde. Daher ist die erste Maßnahme, cupsd.conf die Schreibrechte zu entziehen. Allerdings war cupsd.conf auch schon vorher auf meinen Debiansystemen nur für root beschreibbar, ohne daß ich das manuell hätte setzen müssen.Insofern ist die Verbreitung von Panik, daß Debian hier angreifbar sei, nicht gegeben. Der fehlerhafte Quellcode wurde jetzt zusätzlich bereinigt und in dem Link veröffentlicht und erklärt.
Re: CUPS-Sicherheitsproblem
Hallo MSfree,
danke für deine ausführliche Information !
Gruß ethylen
danke für deine ausführliche Information !
Gruß ethylen