Haha, low on cyan! :)

Voor de rest wat mij betreft kritiek probleem EN storm in glas water!

Zo ver ik weet bleek het uiteindelijk zonder gebruikers interactie uit te voeren te zijn.
En met machines op het internet benaderbaar, is dit zeker een een storm die niet in een glas water past!
Maar het is ook niet helemaal een kritiek probleem omdat je in principe local network access nodig hebt.

(Ik was zelf ook gedeeltelijk kwetsbaar op mijn windows 10 machine, gezien ik WSL2-Ubuntu draaide.)

Zoals met de meeste kwetsbaarheden stond de update al klaar op de dag van berichtgeving.

https://invidious.jing.rocks/watch?v=zoJpkD9cCrg - Low On Cyan (Eli Brown Remix)

Met IPv6 breed ingeschakeld is nu het probleem dat veel machines direct te benaderen zijn vanaf het internet. Dit maakt de impact groter dan toen we nog massaal IPv4 gebruikten.

In het artikel hierover op security.nl staat:
Dat betekent dat een fysiek aanwezige aanvaller een printserver kan compromitteren door iets dat zich voordoet als printer aan het netwerk te koppelen en daar een printopdracht heen te sturen, en wie weet wat er vanuit die gecompromitteerde server weer mogelijk blijkt. Ik denk dat er omgevingen zijn waar dat ernstige gevolgen kan hebben en omgevingen waar het niet zo'n vaart loopt. Als er omgevingen zijn waar het ernstig uit kan pakken moet dat voldoende aanleiding voor de makers van de software zijn om het als een kritiek probleem te behandelen.

Ik moest eerst even zoeken naar wat CUPS is/zijn en dan krijg je in eerste instantie alleen maar info over koffiecups te zien maar uiteindelijk kwam ik toch weer op security.nl terecht en werd het mij enigszins duidelijk. En aangezien ik geen Linux gebruik gaat dit “probleem” sowieso aan mijn deur voorbij.

Zijn die dan bereikbaar? In mijn thuisroutertje zit een firewall die ook IPv6-verkeer van buiten naar binnen blokkeert, tenzij ik toegang tot iets uitdrukkelijk open zet.

Bij XS4ALL had ik als ik me goed herinner in 2010 al IPv6, en het gebruik ervan is gestaag toegenomen. Nederland loopt achter, maar wereldwijd gaat het harder dan hier. Als het zo zou werken als jij stelt, dat IPv6-machines van buiten toegankelijk zouden zijn, dan zouden we al meer dan 10 jaar voortdurend berichten moeten zien van mensen en organisaties die dat niet hadden beseft, onbeschermd aan het internet hingen en gecompromitteerd raakten. Er gaat natuurlijk zat mis, maar ik kan me niet herinneren ook maar één keer gelezen te hebben dat dat kwam omdat ze door IPv6 effectief geen firewall meer hadden. Ik heb daardoor niet de indruk dat het probleem dat jij ziet echt bestaat.

Misschien denk je aan het ontbreken van NAT in IPv6. Maar NAT is niet de firewall, ook al heeft het door wat het wel doet een heel firewall-achtig neveneffect. Een firewall kan prima verkeer tegenhouden naar een adres dat niet met NAT vertaald wordt, en de basisregel van een firewall is dat alles van buiten naar binnen dicht staat tenzij.

In de routers die ISP's leveren wordt als het goed is al het inkomende verkeer standaard geblokkeerd, ook IPv6-verkeer. Bij het configureren van professionele netwerkapparatuur mag ik hopen dat men snapt waar men mee bezig is, en ook daar lijken veilige defaults me overigens geen overbodige luxe.

Wat extra informatie op een rij:

Low on cyan meme:

https://www.reddit.com/media?url=https%3A%2F%2Fpreview.redd.it%2Fjlx9wokn7tl31.jpg%3Fwidth%3D1080%26crop%3Dsmart%26auto%3Dwebp%26s%3D6bb2930470b4f7b9d3ee8067ec124715673f80b2

Achtergrond artikel op securit.nl:

https://www.security.nl/posting/859742/CUPS-kwetsbaarheden+maken+remote+code+execution+mogelijk?channel=rss

Original article door evilsocket:

https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

''oh thats oke i just want to print some black :) ''

''no f*you low on cyan''

CUPS werd anno 1999 oorspronkelijk door Apple Inc. ontwikkeld voor hun latere macOS X vlaggenschip (2001).

https://en.wikipedia.org/wiki/CUPS

Hoeveel systemen hangen met internet toegang direct aan het internet met een cups die niet op localhost draait dan?
Voor beiden gevallen moet je handmatig iets regelen en staat dit default niet zo aan.
Storm in een glas water..

FUD.

Ik stel voor dat je een cursus IPv6 gaat doen.

Ik snap niet waarom dit soort zaken standaard op een (Server) OS geïnstalleerd staan. Een os moet clean en alleen de functies installeren die je by default nodig hebt om te starten al het andere is een optie. want op een webserver of database server ga je niet printen. net als dat je geen webserver nodig hebt op een database server.

Op een desktop is printen tegenwoordig ook een optie en geen primaire taak.

Er worden op alle OSen veel te veel onnodige dingen geïnstalleerd die totaal niet nodig zijn maar wel een risico vormen.

Wanneer gaan we eens een optie voor minimale installatie krijgen?

Je hebt het over "alle OSen" maar je kent duidelijk niet alles.

Probeer voor de grap eens Debian te installeren. Dan krijg je op een gegeven moment een keuze uit een aantal "taken",
waaronder verschillende smaken voor desktop-systemen en servers. Selecteer daar eens helemaal niets (en deselecteer wat er voorgeselecteerd is). Dan krijg je een systeem dat zo spartaans is dat zelfs de meeste terminalcommando's ontbreken waarvan een Linux-gebruiker die vaardig is met de terminal gewend is dat ze er gewoon zijn. Het enige wat je ermee kan is pakketten installeren zodat je er meer mee kan. Het is een goede basis om een minimaal systeem op te bouwen.

Er zullen meer Linux-distro's zijn waar hetzelfde voor geldt, neem ik aan, dit is waar ik toevallig bekend mee ben.

Misverstand. IPv6 zorgt er voor dat steeds meer machines globaal routeerbaar zijn, maar dat maakt ze niet perse globaal benaderbaar.