PrintNightmare blijkt de perfecte naam. Het houdt maar niet op.

Ehm, is het niet beter om alle tierlantijntjes eruit te slopen, en een printspooler dat te laten doen wat het moet doen (en niet meer). printen.

Gisteren: https://www.security.nl/posting/716061/Microsoft+verhelpt+PrintNightmare-lek+met+aanpassing+van+Point+and+Print; vandaag dit. Microsoft heeft het onderhoud aan haar spaghetticodebouwwerk duidelijk niet meer in de hand.

Elk bestaand OS is een spaghetti bouwwerk. Laag op laag op laag, en als de basis een bepaalde vertrouwensfunctie heeft die in deze tijden niet meer kan, dan krijg je breach op breach op breach.

Het siert MS om zaken als deze nog eens goed door te lopen, en te zien of er meer gesandboxed kan worden met minder minder rechten.
In de veronderstelling zijn dat iets anders als OSX of Linux hier geen problemen mee hebben heeft toch redelijk boter op het hoofd. ;)

OSX en Linux hebben hier inderdaad geen problemen mee dankzij Cups. Kwaliteit bestaat (https://www.cvedetails.com/product/6857/Cups-Cups.html?vendor_id=3886)
Niet elk OS is Spaghetti bouwwerk. Laag op laag is trouwens Lasagna en geldt voor OSI ref model.. Spaghetti is alles door elkaar (windows) bv de GUI verweven met de kernel. Printspooler met admin rechten etc.
Het is een hopeloos verouderd systeem waardoor het ene winbolwerk na het ander wordt versleuteld: https://www.security.nl/posting/716183/PrintNightmare-lek+gebruikt+voor+verspreiding+van+ransomware
Lulverhaal over sandboxed. Het is even snel in elkaar gehackt en nu zitten ze, en de klanten die niet meer kunnen printen, met de gebakken peren.

Uiteraard is de printspooler in Windows een oud stuk software wat al meer dan 20 jaar oud is en wat je, zeker op servers, niet nodig hebt.
Volhouden dat andere OSen er geen last van zouden kunnen krijgen is dus echt boter op je hoofd, er is maar 1 stuk software bug vrij verklaard na 25 jaar onderzoek de rest is nog niet 100% zeker.

Ik draai anders al jaren geheel probleemloos met Linux Ubuntu hier.
In het begin waren er wat probleempjes om sommige hardware goed werkend te krijgen zonder de nodige terminal aanpassingen.
Maar inmiddels kan ik mijn toner printer probleemloos aansluiten.
En updates, daar kan een windows gebruiker alleen maar van dromen.

In de gebruikelijke Windows client/server netwerken is het gebruikelijk dat er op "de" (een) server een printer spooler
draait die de diverse printers van dat bedrijf kent en waar je als gebruiker (client) je printjobs aanlevert en die worden
dan een voor een naar de printers gestuurd. Dat is een vrij gebruikelijke functie van een spooler.

Helaas is er in de Windows printer spooler ook andere functionaliteit ondergebracht: het aanleveren van de drivers
(van de server naar de clients), en het formatteren van data voor de printers door gebruikmaken van die drivers
(op de clients).

De huidige nightmare is dat het veel te makkelijk is om kwaadaardige drivers op de server en daarmee op die clients
te krijgen (nog aangevuld met het probleem dat een client ook printers van een andere dan "de" server kan installeren
dus een malicious machine in je netwerk kan ook malicious drivers aanbieden).
Dat wordt nu aan alle kanten bestreden, maar het probleem is meer de combinatie van functies (spoolen, driver
beheer, en formatten) in 1 service.

Dat gaat in Linux anders. Daar is iedere APPLICATIE verantwoordelijk voor het formatteren van printer data, en
is de spooler alleen maar een doorgeefluik / queue manager. Drivers draaien dus in de user context in plaats
van als SYSTEM, en een aanval op drivers is geen privilege escalatie risico.

Ah vertel? Je installeert ze niet?
Of dagelijks? (vandaag weer een kernel probleem)

Ik werk al sinds1995 met Linux maar het blijft behelpen.

@ RON,

Ik beweer niet dat er nooit problemen zijn.
Maar ik heb er geen last van waardoor b.v. mijn hele systeem vast loopt of op tilt slaat.
Ook niet na een update, wat bij windows niet ongebruikelijk is.
En meestal is dat dan ook weer zo opgelost.
Nee, je kan er niet zoveel mee als met windows, maar dat doe ik verder ook niet mee.
En je moet alleen software gebruiken uit het software centrum, niet zomaar iets van buiten af.
Dat is vragen om ellende, dat is niet onmogelijk.
En het meeste kan ik daar wel in terug vinden, het is soms wel wat goed zoeken.
Ik installeer elke update, maar een kernel update heb ik vandaag nog niet gehad.
Ik ben verder wel een tevreden gebruiker voor wat ik er mee doe.

Ik denk dat ik al ene jaar of 7-8 geen issues meer gehad heb na updates met Windows, met Ubuntu wel trouwens.
Dat jij die kernel update nog niet hebt gehad kan kloppen, Canonical is niet zo rap met dat soort updates. RedHat en Suse hebben hem al wel gedeeld.

De problemen die je beschrijft met Windows zijn al van wat jaren geleden en komen niet meer voor, misschien nog als je vage drivers/software installeert. Als we op dit moment issues tegenkomen is het vaker met Linux installaties dan met Windows, de laatste jaren is Windows rete stabiel.

@Anoniem 11:22 zegt:


Dus eigenlijk een Big Mac bouwwerk.

Erik

Heerlijk hoe sommige Windows adepten ondanks alle berichtgeving over print- en ransom/malware-ellende toch blijven ontkennen dat het hier om een inferieur spaghetticodebouwwerk gaat.

Ik werk al sinds 1993 met Windows, maar het blijft aanklooien.

Voor Mac gebruikers: De Cups interface benader je o.a. in de browser met "localhost:631". Bij de nieuwere OS versies moet je de webinterface eerst activeren in de terminal met "cupsctl WebInterface=yes".

Dat idee van een opzettelijk minimalistisch gehouden ontwerp is al heel oud:


___ Douglas McIlroy, 1978

https://en.wikipedia.org/wiki/Unix_philosophy

nou nou nou, ik kan niet zeggen dat de recente updates om de printer-spooler issues op te lossen nu zo een success zijn... ik hoor van de andere (windows) beheerders hier aan de UNI dat je ook pech kunt hebben met bepaalde oude HP drivers die signeerd zijn en niet met de update werken. it is maar wat je stabiel vind, een update die niet lukt en de beoogde fix niet levert...........

Dus elke applicatie moet maar zien dat hij de juiste printer drivers vind, succes verzekerd als spaghetti.
Geen wonder dat het dan ongeschikt is met massale omgevingen in grote varieteit. Ik vroeg me al af waarom het printer vanaf linux servers standaard onmogelijk gemaakt wordt. Hebben we nog wel last met alle printers die (linux) die persé hun drivers elders actief gemaakt willen zien. Alleen in Dos 2.1 kende ik het verhaal van applicaties die alles zouden moeten doen.

Je hebt het toch over linux wat een copie moet zij van Unix maar zou nog mag heten wegen AT&T
Zie alle IOT wat we nu weer de ransomware op NAS zijn. Er is weinig veranderd sinds Morrison

"Dus elke applicatie moet maar zien dat hij de juiste printer drivers vind, succes verzekerd als spaghetti."

wat er bedoeld wordt is dat de printer spooler niet als SYSTEM draait, maar als een process met veel minder privileges. dat is wat een user context betekent. het betekent dus niet dat elke applicatie een apparte eigen printer driver DB of spooler moet bouwen. inter process communicatie gaat dan via bijv een socket gebruik makende van bijv het lpd/ipp protocol:

https://en.wikipedia.org/wiki/Unix_domain_socket
https://en.wikipedia.org/wiki/Line_Printer_Daemon_protocol
https://en.wikipedia.org/wiki/Internet_Printing_Protocol

maar goed dat weet je wel allemaal al toch?


Read all about it at:

https://www.cups.org/documentation.html

@ karma4

Ik schreef al, sommige drivers kan een probleem zijn met Linux.
Maar ze worden er steeds beter in.
Meestal kan je er wel een terminal oplossing voor vinden op internet.
Maar nooit drivers van buiten af binnen halen in je linux systeem.
Het moet uit de linux gemeenschap zelf komen.

Nou dat is inderdaad een probleem, maar daar heeft men een verbluffend simpele oplossing voor gevonden: laat de
applicaties een paar standaardformaten (normaalgesproken Postscript maar kan ook platte tekst zijn) produceren,
en doe in de printerspooler een omzetting van dat formaat naar wat de printer nodig heeft.
Veel printers ondersteunen al Postscript en platte tekst, maar mocht je printer dat niet kunnen dan kun je dat dus op
1 plek oplossen.

Specifieke drivers voor ieder model printer dat is toch al iets wat je niet meer moet willen, printers zijn te simpele
devices om voor ieder type een aparte driver te moeten maken.
Net als veel andere generieke devices trouwens, Linux ondersteunt ontzettend veel hardware met algemene drivers
die in Windows specifieke drivers nodig heeft die de gebruiker eerst moet installeren.

Ja zoals je zelf al zegt HP drivers, die worden geleverd door.... HP.
De leverancier van de driver, HP dus, moet dus de drivers updaten. Dat is geen fout in Windows maar van de leverancier, meenmen dus in de beoordeling van de keuze van de leverancier bij de volgende inkoop ronde.

ha ha ha wat een lekkere 'over de schutting' en 'in vakje proppen' mentaliteit weer!

is het niet zo dat de signeren van drivers uiteindelijk door MS gedaan wordt?

https://docs.microsoft.com/en-us/windows-hardware/drivers/install/windows-driver-signing-tutorial

hoe anders kun je er bij MS zeker van zijn dat de driver die gesigneerd is niet een back-door bevat oid...

Je zou kunnen stellen dat het een fout in Windows is dat drivers de verantwoordelijkheid van de leverancier gemaakt
worden, en niet worden meegeleverd met het OS. In feite zou het zo moeten zijn dat fabrikanten van spullen die drivers
nodig hebben deze in source-vorm aanleveren aan Microsoft, zodat deze ze indien nodig bij security issues kan aanpassen
en hercompileren en meeleveren met een update, onafhankelijk van de fabrikant.
Dit is hoe het voor de meeste drivers gaat in Linux. Drivers, ook door fabrikanten gemaakte, staan in de kernel source
tree en kunnen door algemene kernel maintainers worden aangepast als er bijvoorbeeld een structureel probleem in een
bepaalde soort van drivers gevonden wordt waarbij ze allemaal moeten worden nagelopen.
In een closed-source omgeving zoals Windows zou dat ook kunnen, gemakkelijker zelfs omdat fabrikanten niet hoeven
te vrezen voor publicatie van hun broddelwerk of hun intellectuele(?) eigendommen.

Daar kun je helemaal niet zeker van zijn! MS controleert drivers niet op backdoors alvorens ze te signen, ze testen
ze alleen in een testharnas om te checken op al te voor de hand liggende pointer fouten enzo.

Haha vreselijk die windows gebruikers die net doen of ze ook LInux gebruiken. Open source (Linux is maar een vlaggenschip) en de manier van ontwikkelen is waarom je voor LInux gaat (sluit windows uit). Jij ben in control. Voor windows is Microsoft in control Even snel met windows iets doen is onmogelijk en irriteert onmiddellijk. Als het uiteindelijk is gelukt werkt het de volgende maand niet meer, omdat Microsoft geen respect heeft voor settings etc. Hie kan MS nog heel veel van leren: https://www.redhat.com/sysadmin/etc-configuration-directories
Dat Linux veel veiliger stabieler en makkelijker te patchen is is mooi meegenomen.
Deze printspooler nachtmerrie staat weer mooi model voor de windows spaghetti shit. Het is toch ongehoord dat gemeentes een tijd niet kunnen printen door een windows probleem.

Cups is superieur aan de windows print spooler met hooguit 1 CVE per jaar! Wij gebruiken het al 15 jaar en hoeven voor onze linux desktops en mac laptops niet 1 driver te installeren. Ja kwaliteit bestaat. Dan hebben we het nog niet over postfix vergeleken met al die andere Microsoft exchange ellende.

voor een niet server: als je print en file sharing uitzet op je netwerk kaart ben je dan hier niet vanaf?
want opzich lokaal printen zou niet een probleem moeten zijn toch?

ga je me nu vertellen dat dan de kernel development bij linux die open source gebeurt en warabij nieuwe drivers dus in source vorm aan de mainline gevoegd worden na inspectie van meerdere kernel developers dan een beter software ontwikkel model is?

Het probleem is dat als iemand toegang tot je systeem heeft als "gebruiker", hij via een lokale printer "system" kan worden.
Hier is niet eens een server bij nodig. De server is alleen een distributiemechanisme voor dit probleem, omdat daar door
gewone gebruikers drivers op gezet kunnen worden die naar je PC toe gehaald worden en daar als system uitgevoerd.
Maar nadat dit als eerste aan het licht kwam gingen mensen doordenken en bedachten ze zich dat er ook andere manieren
zijn om drivers op je PC te krijgen, bijvoorbeeld standaard drivers uit Windows, en dat deze ook lekken bevatten die op
dezelfde manier uitgebuit kunnen worden.

Je moet je meer afvragen of het in jouw gebruiksscenario voor de hand liggend is dat een "aanvaller" op jouw PC kan
inloggen onder een gebruikersaccount (bijvoorbeeld jouw eigen account, je bent natuurlijk gebruiker he en geen admin?
anders kunnen we hier wel ophouden...) of dat het kan voorkomen dat jij software onder jouw eigen account uitvoert waar
kwaadaardige code in zit die admin wil worden. Deze aanvaller of de software van die aanvaller kan dan system worden
op jouw PC en daar dan vervolgens meer permanente dingen installeren zoals een backdoor.

Verdiep je maar eens in "Building on the Shoulders of Giants"

Typisch karma4 (17:55 door karma4) . Er is een enorm windows (spooler) probleem en hij begint Linux te bashen (met verifieerbare onwaarheden) waar juist dit probleem stabiel en veilig is opgelost https://openprinting.github.io/. De onwil om te leren van anderen is schrijnend.

Er is ook een reden dat in de UNIX wereld postscript printers populair zijn. Een aardige site voor mensen die toch met consumenten printers aan de gang willen: https://www.openprinting.org/printers/

pssst verdiep je je dan eens in irony en sarcasm :P

Niks ironisch aan.

whooosh

Het is inderdaad een beter ontwikkelmodel want branch is door iedereen goed te testen.