Cuộc thảo luận gần đây về các lỗ hổng bảo mật trong Ubuntu 24.04 đã làm dấy lên một cuộc tranh luận quan trọng về bảo mật dịch vụ in ấn trong các hệ thống Linux, đặc biệt tập trung vào CUPS (Common Unix Printing System) và những tác động tiềm ẩn về mặt bảo mật.
 |
|---|
| Một hình ảnh trừu tượng thể hiện những cuộc thảo luận sôi nổi về các lỗ hổng bảo mật trong Ubuntu 2404 |
Vấn đề bảo mật của CUPS
Cộng đồng đã phát hiện những lo ngại đáng kể về bảo mật liên quan đến CUPS trong Ubuntu 24.04, trong đó người dùng thuộc nhóm lpadmin có thể leo thang đặc quyền lên quyền truy cập root. Mặc dù đây có vẻ là một vector tấn công hạn chế, nhưng hậu quả lại rất nghiêm trọng đối với các quản trị viên hệ thống và người dùng doanh nghiệp vốn phụ thuộc vào CUPS cho cơ sở hạ tầng in ấn. Lỗ hổng này không yêu cầu thành viên nhóm sudo, mà thay vào đó tận dụng quyền của nhóm lpadmin, điều mà nhiều quản trị viên có thể không coi là quan trọng về mặt bảo mật.
Các tác động bảo mật chính:
- Ảnh hưởng đến người dùng trong nhóm lpadmin
- Khả năng leo thang đặc quyền lên quyền root
- Hai lỗ hổng bảo mật chính:
- Lỗ hổng chmod trong CUPS
- Tải tập tin .so tùy ý trong wpa_supplicant
Cải tiến bảo mật trong CUPS 3.0:
- Chạy dưới quyền người dùng thông thường thay vì quyền root
- Triển khai giao thức IPP Everywhere
- Ứng dụng máy in được sandbox hóa
- Máy chủ chia sẻ riêng biệt cho người dùng doanh nghiệp
Tác động rộng hơn đến bảo mật hệ thống
Phát hiện này đã dẫn đến những cuộc thảo luận rộng rãi hơn về sự cần thiết của CUPS trong các hệ thống hiện đại. Điều thú vị là CUPS đã trở thành một phần không thể tách rời của môi trường desktop Linux, đến mức việc gỡ bỏ nó ảnh hưởng đến chức năng cốt lõi của hệ thống. Như một thành viên cộng đồng chỉ ra:
Theo tôi, CUPS không nên được cài đặt mặc định... nhưng cups lại là phụ thuộc của toàn bộ hệ thống đồ họa, việc gỡ bỏ cups cũng đồng nghĩa với việc gỡ bỏ mọi thứ từ trình quản lý tệp Nautilus đến Firefox và cả ubuntu-desktop.
 |
|---|
| Logo của Snyk và Probely, tượng trưng cho sự hợp tác trong việc nâng cao phương thức bảo mật trong các hệ thống Linux hiện đại |
Giải pháp và phát triển trong tương lai
Tin tốt là cộng đồng phát triển hệ thống in ấn không đứng yên. CUPS 3.0 đang được phát triển với kiến trúc chú trọng hơn về bảo mật, trong đó máy chủ cục bộ chạy như một người dùng thông thường thay vì root. Thiết kế mới triển khai giao thức IPP Everywhere và bao gồm các 'ứng dụng máy in' được sandbox riêng biệt để hỗ trợ các máy in cũ. Điều này thể hiện một bước chuyển đổi đáng kể hướng tới cách tiếp cận hiện đại hơn, tập trung vào bảo mật cho dịch vụ in ấn.
Cân nhắc cho doanh nghiệp
Đối với môi trường doanh nghiệp, lỗ hổng này đặt ra những câu hỏi quan trọng về cấu hình hệ thống và thực tiễn bảo mật. Trong khi một số người đề xuất thay thế hoàn toàn CUPS, những người khác ủng hộ việc cải thiện sandbox và cô lập dịch vụ in ấn tốt hơn. Thách thức nằm ở việc cân bằng giữa bảo mật và chức năng, đặc biệt trong môi trường có yêu cầu in ấn phức tạp bao gồm xác thực, ghi nhật ký, kiểm toán và hệ thống thanh toán.
Tóm lại, mặc dù lỗ hổng bảo mật trong triển khai CUPS của Ubuntu 24.04 đặt ra một mối lo ngại về bảo mật, nó đã thúc đẩy những cuộc thảo luận quan trọng về tương lai của dịch vụ in ấn trong hệ thống Linux. Xu hướng hướng tới triển khai an toàn hơn, được sandbox trong CUPS 3.0 cho thấy một hướng đi tích cực cho các phiên bản tương lai, mặc dù cần cân nhắc kỹ lưỡng việc duy trì chức năng cho người dùng doanh nghiệp trong khi cải thiện bảo mật.
Nguồn tham khảo: Abusing Ubuntu 24.04 features for root privilege escalation