13637 2007-12-08 17:04:49 +0300 cupsd по умолчанию принимает UDP соединения отовсюду, а не только с localhost 2013-10-03 21:20:16 +0400 1 1 4 Development Sisyphus cups unstable all Linux CLOSED FIXED P1 critical --- 14167 1 olvin rider anubix george lav ldv mike rider shakirov vvk qa-sisyphus oldest_to_newest 59192 0 olvin 2007-12-08 17:04:55 +0300 cupsd сразу после установки принимает соединения отовсюду, а не только с localhost. Причём запускается этот сервер из-под пользователя root, т.е. потенциально уязвим как из локальной сети, так из через Интернет (если до настройки доступа не закрыть firewall'ом). Actual Results: cupsd принимает запросы отовсюду, т.е. слушает 0.0.0.0:631/udp Expected Results: cupsd принимает запросы только от localhost, т.е. слушает 127.0.0.1:631/udp 59266 1 inger 2007-12-10 10:32:57 +0300 # netlist -a|grep cups root 6106 cupsd 1 tcp 127.0.0.1:631 0.0.0.0:0 LISTEN root 6106 cupsd 4 udp 0.0.0.0:631 0.0.0.0:0 CLOSE ---cupsd.conf--- # Only listen for connections from the local machine. Listen localhost:631 --- То есть по udp он вроде как ничего не слушает. 59278 2 olvin 2007-12-10 13:56:32 +0300 OK. А как насчёт такого (уже не netlist, а netstat): [root@ald40 ~]# netstat -avpn 2>/dev/null|grep cups tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 3651/cupsd udp 0 0 0.0.0.0:631 0.0.0.0:* 3651/cupsd unix 2 [ ACC ] STREAM LISTENING 12746 3651/cupsd /var/run/cups/cups.sock Как прокомментируете? Зачем оно вообще висит на 0.0.0.0, если ему сказано слушать только localhost? Я понимаю, что вроде бы не слушает, но сам факт того, что есть такая строчка в выводе настораживает. Скорее всего, помечу как INVALID, но дождусь вашего комментария. 59290 3 inger 2007-12-10 18:35:46 +0300 без понятия зачем ему ещё и UDP-шный порт ;) 59305 4 olvin 2007-12-10 23:21:42 +0300 (In reply to comment #3) > без понятия зачем ему ещё и UDP-шный порт ;) > Нда... Так он всё-таки слушает или нет? :) Resolved bug: INVALID 59325 5 mike 2007-12-11 01:47:05 +0300 (In reply to comment #3) > без понятия зачем ему ещё и UDP-шный порт ;) Вероятно, для какого-нить обнаружения по бродкастам. Судя по nmap, UDP он слушает... 59336 6 olvin 2007-12-11 12:44:17 +0300 (In reply to comment #5) >> без понятия зачем ему ещё и UDP-шный порт ;) > Вероятно, для какого-нить обнаружения по бродкастам. > Судя по nmap, UDP он слушает... Так что - получается, уязвим? 59368 7 mike 2007-12-11 20:05:22 +0300 слушает != уязвим 59372 8 olvin 2007-12-11 20:23:44 +0300 (In reply to comment #7) > слушает != уязвим слушает ~ потенциально уязвим 59407 9 inger 2007-12-12 10:13:55 +0300 Скажите control cups local и расслабтесь, даже на localhost слушать не будет ;) 59409 10 olvin 2007-12-12 11:14:51 +0300 > Скажите control cups local и расслабтесь, даже на localhost слушать не будет ;) В общем, это надо сделать по умолчанию. А то слушает ведь, причём зря и небезопасно, в общем случае. 59410 11 inger 2007-12-12 12:04:58 +0300 нет, по умолчанию будет наименее проблемный вариант ... мы уже проходили, когда делаешь параною а потом выслушиваешь ругань пользователей ;) 59415 12 olvin 2007-12-12 14:28:05 +0300 > нет, по умолчанию будет наименее проблемный вариант ... мы уже проходили, когда > делаешь параною а потом выслушиваешь ругань пользователей ;) Тогда нужно сделать эту службу недоступной из сети не 127.0.0.1 ИЛИ запускаемой не из-под root. 71700 13 dottedmag 2008-06-13 12:59:26 +0400 77822 14 anubix 2008-09-16 02:37:16 +0400 Галку в альтераторе? 114929 15 shakirov 2010-11-06 14:37:41 +0300 Воспроизводится: cups-1.4.4-alt2 # netstat -anlpu | grep cups udp 0 0 0.0.0.0:631 0.0.0.0:* 3768/cupsd Перевешиваю на Сизиф 115003 16 mike 2010-11-06 22:49:42 +0300 Не уверен, что есть большой смысл отрывать ему и обнаружение по UDP... разве что control cups paranoid какой. 142965 17 lav 2013-10-03 21:20:16 +0400 (В ответ на комментарий №2) > OK. А как насчёт такого (уже не netlist, а netstat): > > [root@ald40 ~]# netstat -avpn 2>/dev/null|grep cups > tcp 0 0 127.0.0.1:631 0.0.0.0:* > LISTEN 3651/cupsd > udp 0 0 0.0.0.0:631 0.0.0.0:* > 3651/cupsd > unix 2 [ ACC ] STREAM LISTENING 12746 3651/cupsd > /var/run/cups/cups.sock Больше не слушает: # rpm -q cups cups-1.6.2-alt3 # netstat -avpn 2>/dev/null|grep cups tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 26898/cupsd tcp 0 0 :::631 :::* LISTEN 26898/cupsd # netstat -anlpu | grep cups (ничего не выводит)