Perbincangan terkini mengenai kelemahan keselamatan Ubuntu 24.04 telah mencetuskan perbualan penting tentang keselamatan perkhidmatan pencetak dalam sistem Linux, khususnya mengenai CUPS (Common Unix Printing System) dan implikasi keselamatannya.
 |
|---|
| Perwakilan abstrak tentang perbincangan rancak mengenai kelemahan keselamatan dalam Ubuntu 2404 |
Dilema Keselamatan CUPS
Komuniti telah mengenal pasti kebimbangan keselamatan yang ketara mengenai CUPS dalam Ubuntu 24.04, di mana pengguna dalam kumpulan lpadmin berpotensi meningkatkan hak keistimewaan kepada akses root. Walaupun ini mungkin kelihatan seperti vektor serangan yang terhad, implikasinya serius bagi pentadbir sistem dan pengguna enterprise yang bergantung kepada CUPS untuk infrastruktur percetakan. Kelemahan ini tidak memerlukan keahlian kumpulan sudo, tetapi memanfaatkan kebenaran kumpulan lpadmin, yang mungkin tidak dianggap kritikal dari segi keselamatan oleh kebanyakan pentadbir.
Implikasi Keselamatan Utama:
- Memberi kesan kepada pengguna dalam kumpulan lpadmin
- Potensi peningkatan hak istimewa kepada root
- Dua kerentanan utama:
- Kerentanan chmod CUPS
- Pemuatan fail .so secara sewenang-wenang oleh wpa_supplicant
Peningkatan Keselamatan CUPS 3.0:
- Beroperasi sebagai pengguna biasa dan bukan root
- Melaksanakan protokol IPP Everywhere
- Aplikasi pencetak dalam sandbox
- Pelayan perkongsian berasingan untuk pengguna enterprise
Kesan Lebih Luas Terhadap Keselamatan Sistem
Penemuan ini telah membawa kepada perbincangan yang lebih luas tentang keperluan CUPS dalam sistem moden. Menariknya, CUPS telah menjadi sebahagian penting dalam persekitaran desktop Linux, sehingga ke tahap di mana pembuangannya memberi kesan kepada fungsi teras sistem. Seperti yang dinyatakan oleh salah seorang ahli komuniti:
Pada pendapat saya, CUPS tidak sepatutnya menjadi pemasangan lalai... tetapi CUPS adalah keperluan bagi keseluruhan subsistem grafik, hanya dengan membuang CUPS juga akan membuang segala-galanya dari pengurus fail Nautilus hingga Firefox ke ubuntu-desktop itu sendiri.
 |
|---|
| Logo-logo Snyk dan Probely, melambangkan kerjasama dalam meningkatkan amalan keselamatan dalam sistem Linux moden |
Penyelesaian dan Perkembangan Masa Depan
Berita baiknya ialah komuniti sistem percetakan tidak berdiam diri. CUPS 3.0 sedang dibangunkan dengan seni bina yang lebih sedar keselamatan, di mana pelayan tempatan berjalan sebagai pengguna biasa dan bukannya root. Reka bentuk baharu ini melaksanakan protokol IPP Everywhere dan termasuk 'aplikasi pencetak' berasingan yang dilindungi untuk sokongan pencetak legasi. Ini mewakili perubahan ketara ke arah pendekatan perkhidmatan percetakan yang lebih moden dan fokus kepada keselamatan.
Pertimbangan Enterprise
Bagi persekitaran enterprise, kelemahan ini menimbulkan persoalan penting tentang konfigurasi sistem dan amalan keselamatan. Walaupun sesetengah pihak mencadangkan untuk menggantikan CUPS sepenuhnya, yang lain menyokong sandboxing dan pengasingan perkhidmatan percetakan yang lebih baik. Cabarannya terletak pada mengimbangi keselamatan dengan fungsi, terutamanya dalam persekitaran dengan keperluan percetakan yang kompleks termasuk sistem pengesahan, logging, pengauditan, dan pengebilan.
Kesimpulannya, walaupun kelemahan segera dalam implementasi CUPS Ubuntu 24.04 menimbulkan kebimbangan keselamatan, ia telah mencetuskan perbincangan penting tentang masa depan perkhidmatan percetakan dalam sistem Linux. Pergerakan ke arah implementasi yang lebih selamat dan terlindung dalam CUPS 3.0 menunjukkan arah positif untuk keluaran masa depan, walaupun pertimbangan yang teliti perlu diberikan untuk mengekalkan fungsi bagi pengguna enterprise sambil meningkatkan keselamatan.
Sumber Rujukan: Penyalahgunaan ciri-ciri Ubuntu 24.04 untuk peningkatan keistimewaan root