安装Debain10后, apt update; apt upgrade'; 期间报:
apt-listchanges: News
cups (2.2.10-6+deb10u9) buster-security; urgency=high
This release addresses a security issue (CVE-2023-32360) which allows
unauthorized users to fetch documents over local or remote networks.
Since this is a configuration fix, it might be that it does not reach you if you
are updating 'cups-daemon' (rather than doing a fresh installation).
Please double check your /etc/cups/cupds.conf file, whether it limits the access
to CUPS-Get-Document with something like the following
<Limit CUPS-Get-Document> AuthType Default Require user @OWNER @SYSTEM Order deny,allow </Limit> (The important line is the 'AuthType Default' in this section)
-- Thorsten Alteholz debian@alteholz.de Fri, 29 Sep 2023 21:20:27 +0200
(press q to quit)
apt-listchanges: News
---------------------
cups (2.2.10-6+deb10u9) buster-security; urgency=high
This release addresses a security issue (CVE-2023-32360) which allows
unauthorized users to fetch documents over local or remote networks.
Since this is a configuration fix, it might be that it does not reach you if you
are updating 'cups-daemon' (rather than doing a fresh installation).
Please double check your /etc/cups/cupds.conf file, whether it limits the access
to CUPS-Get-Document with something like the following
> <Limit CUPS-Get-Document>
> AuthType Default
> Require user @OWNER @SYSTEM
> Order deny,allow
> </Limit>
(The important line is the 'AuthType Default' in this section)
-- Thorsten Alteholz <debian@alteholz.de> Fri, 29 Sep 2023 21:20:27 +0200
(press q to quit)
apt-listchanges: News
cups (2.2.10-6+deb10u9) buster-security; urgency=high
This release addresses a security issue (CVE-2023-32360) which allows unauthorized users to fetch documents over local or remote networks. Since this is a configuration fix, it might be that it does not reach you if you are updating 'cups-daemon' (rather than doing a fresh installation). Please double check your
/etc/cups/cupds.conffile, whether it limits the access to CUPS-Get-Document with something like the following<Limit CUPS-Get-Document> AuthType Default Require user @OWNER @SYSTEM Order deny,allow </Limit>
(The important line is the 'AuthType Default' in this section)-- Thorsten Alteholz debian@alteholz.de Fri, 29 Sep 2023 21:20:27 +0200
(press q to quit)
你看到的是Debian系统中通过apt-listchanges工具展示的CUPS软件包安全更新公告。以下分步解析内容:
-
更新摘要
- 软件包:
cups版本升级到2.2.10-6+deb10u9 - 适用系统:
Debian 10 (buster)的安全仓库(buster-security) - 紧急程度:
urgency=high(高危)
- 软件包:
-
安全修复内容
- 修复漏洞:CVE-2023-32360
- 漏洞影响:允许未授权用户通过本地或远程网络获取文档(可能泄露敏感打印内容)
-
用户注意事项
- 此更新为配置修复,若通过
apt upgrade cups-daemon更新(而非全新安装),配置可能不会自动生效。 - 必须手动验证配置文件
/etc/cups/cupsd.conf是否包含以下关键内容:<Limit CUPS-Get-Document> AuthType Default # 核心安全配置:启用身份验证 Require user @OWNER @SYSTEM Order deny,allow </Limit>
- 此更新为配置修复,若通过
-
操作建议
- 步骤1:打开终端,输入
sudo nano /etc/cups/cupsd.conf - 步骤2:查找
<Limit CUPS-Get-Document>段落 - 步骤3:确认存在
AuthType Default行,若无则需手动添加 - 步骤4:保存后重启服务:
sudo systemctl restart cups
- 步骤1:打开终端,输入
-
更新签名信息
- 维护者:Thorsten Alteholz(Debian官方维护者)
- 发布时间:2023年9月29日 21:20:27(中欧时间)
需要进一步帮助可补充提问。(注:apt-listchanges用于在安装新包时显示重要变更日志)
以下是针对该 CUPS 安全更新的关键解读和操作指南:
漏洞背景
- CVE-2023-32360 是 CUPS 打印服务的认证绕过漏洞,允许未授权用户通过本地或远程网络访问近期打印的文档。
- Debian 10 (buster) 通过
cups 2.2.10-6+deb10u9版本修复此问题,但需手动检查配置。
更新注意事项
-
配置修复的特殊性
此补丁本质是修改 CUPS 配置文件 (/etc/cups/cupsd.conf),而非仅代码更新。若你曾自定义此文件,更新时 Debian 的包管理工具 (apt) 不会覆盖现有配置,需手动合并修复规则。 -
必须添加的配置段
确保配置文件中包含以下针对CUPS-Get-Document接口的访问限制:<Limit CUPS-Get-Document> AuthType Default Require user @OWNER @SYSTEM Order deny,allow </Limit>核心要求:
AuthType Default强制要求身份验证(如系统用户或管理员)。
操作步骤
-
更新 CUPS 软件包
sudo apt update && sudo apt upgrade cups -
手动检查配置文件
sudo nano /etc/cups/cupsd.conf # 使用其他编辑器亦可- 在
<Policy default>或相关策略区块内,添加上述<Limit>规则。 - 若已存在类似配置,需确保包含
AuthType Default。
- 在
-
重启 CUPS 服务
sudo systemctl restart cups
验证修复
-
检查配置生效
cupsctl --debug | grep -i "CUPS-Get-Document"输出应显示
AuthType=Default和访问控制规则。 -
模拟攻击测试
尝试通过ipptool或浏览器访问http://localhost:631/printers/,未登录用户应无法通过CUPS-Get-Document获取文档。
其他建议
- 系统兼容性:Debian 10 (buster) 已进入 LTS 维护阶段(截至 2024 年),建议尽快升级到 Debian 11/12 以获得全面支持。
- 网络隔离:若 CUPS 服务需暴露到网络,建议通过防火墙限制访问 IP(如仅允许内网)。
- 日志监控:定期检查
/var/log/cups/error_log,关注异常访问记录。
若配置过程中遇到冲突或服务启动失败,可通过 sudo systemctl status cups 查看日志,或回退到备份配置(Debian 默认备份为 /etc/cups/cupsd.conf.dpkg-old)。
CVE-2023-32360 是一个中危认证绕过漏洞,主要影响 macOS 操作系统和开源的打印服务系统 CUPS(Common UNIX Printing System)。它允许未经身份验证的用户访问近期打印的文档,原因是 CUPS 的 CUPS-Get-Document 接口在身份验证状态管理中存在缺陷。
关键信息总结
-
漏洞原理
CUPS 的CUPS-Get-Document接口未正确实施身份验证检查,攻击者可通过该接口绕过认证机制,直接获取近期打印的文件(如 PDF、文本等)。修复方案通过分离该接口的访问控制并强制要求默认认证(如系统用户或特权账户)来解决问题。 -
受影响系统
- macOS:
- Big Sur(修复版本 11.7.7)
- Monterey(修复版本 12.6.6)
- Ventura(修复版本 13.4)
- CUPS(Linux 发行版):
- Debian 12 "bookworm"(通过补丁
0016-CVE-2023-32360.patch修复) - Amazon Linux(各版本均已发布修复包)。
- Debian 12 "bookworm"(通过补丁
- macOS:
-
潜在风险
- 未授权用户可能窃取敏感打印文档(如发票、内部报告等)。
- 若打印服务暴露于公网或不可信网络,可能导致企业内部数据泄露。
-
修复措施
- macOS 用户:升级至指定安全版本(如 Ventura 13.4)。
- Linux/CUPS 管理员:应用 CUPS 补丁(如 Debian 的
cups 2.4.2-3+deb12u8)并重启服务。
-
CVSS 评分
该漏洞的 CVSS v3 评分为 5.5(中危),攻击复杂度低,但需本地访问权限(如共享打印服务环境)。
其他关联信息
- 相关 CVE:同一批搜索结果中提到的其他漏洞(如 CVE-2023-36025、CVE-2023-34050)与 CUPS 无关,涉及 Windows 或 Spring 框架的安全问题,需注意区分。
- 长期影响:截至 2025 年 3 月,主流操作系统已提供修复补丁,但未及时更新的旧系统仍面临风险。
如需查看具体补丁代码或升级指南,可参考 Debian 的补丁文件 或 Apple 官方安全公告。
关于您提到的 CVE-2023-32360 漏洞,结合您提供的 apt-listchanges 提示和工具查询结果,以下是详细的漏洞解析和修复建议:
漏洞描述
- 漏洞本质:该漏洞是 CUPS(通用UNIX打印系统)组件中的认证问题,允许未经授权的用户通过本地或远程网络访问最近打印的文档,导致敏感信息泄露。
- 技术细节:漏洞源于CUPS在状态管理上的不足,攻击者可利用此缺陷绕过正常认证流程,直接获取打印作业文件。
- 受影响系统:
- 操作系统:Debian/Ubuntu(通过APT更新提示)、Apple macOS Big Sur、Asianux等。
- 软件组件:OpenPrinting CUPS。
- IBM产品:IBM Watson Speech Services Cartridge for IBM Cloud Pak for Data 4.0.0-4.7.4版本。
- 漏洞评级:
- CVSS评分在 5.5到6.5之间(不同机构评估略有差异),属于中危到重要级别。
- 红帽将其归类为“重要”漏洞,因可能导致机密性泄露。
修复方式
根据漏洞特性和系统环境,修复方式分为以下几类:
1. 通用修复方法
- 更新CUPS到修复版本:
- Debian/Ubuntu:执行命令更新:
sudo apt update && sudo apt dist-upgrade - 其他系统:更新至CUPS修复版本 2.3.0.9 或更高。
- Debian/Ubuntu:执行命令更新:
- 检查并修改CUPS配置文件:
- 打开
/etc/cups/cupsd.conf,确保包含以下限制(关键行为AuthType Default):<Limit CUPS-Get-Document> AuthType Default Require user @OWNER @SYSTEM Order deny,allow </Limit> - 作用:限制仅文档所有者或系统用户可访问打印文件。
- 打开
- 设置
preservejobfiles no:- 在
cupsd.conf中添加:preservejobfiles no - 作用:完全关闭保存打印作业文件的功能,阻断攻击者获取文件。
- 在
2. 系统级防护
- 使用防火墙限制访问:
- 仅允许受信任IP或用户访问CUPS服务(默认端口 631)。
- 定期更新系统:
- 保持操作系统和软件更新,及时获取安全补丁。
3. IBM产品修复
- 升级IBM Watson Speech Services Cartridge:
- 升级至 4.8版本,下载地址:IBM官方更新页面。
CVE-2023-32360是一个与CUPS组件相关的认证问题漏洞,以下是对该漏洞的详细解析:
漏洞描述
- 漏洞本质:该漏洞源于CUPS(通用UNIX打印系统)组件中的认证机制缺陷,允许未经授权的用户通过本地或远程网络访问最近打印的文档,导致敏感信息泄露。
- 技术细节:漏洞因CUPS在状态管理上的不足而产生,攻击者可利用此缺陷绕过正常认证流程,直接获取打印作业文件。
- 修复版本:该问题已在以下系统版本中修复:
- macOS Big Sur 11.7.7
- macOS Monterey 12.6.6
- macOS Ventura 13.4
- CUPS修复版本2.3.0.9
影响范围
- 受影响系统:
- 操作系统:Asianux、Apple macOS Big Sur。
- 软件组件:OpenPrinting CUPS(通用UNIX打印系统)。
- IBM产品:IBM Watson Speech Services Cartridge for IBM Cloud Pak for Data 4.0.0-4.7.4版本。
- 漏洞评级:
- CVSS评分在5.5至6.5之间(不同机构评估略有差异),属于中危至重要级别。
- 红帽将其归类为“重要”漏洞,因可能导致机密性泄露。
修复方式
- 通用修复方法:
- 更新CUPS到修复版本2.3.0.9或更高。
- 对于Debian/Ubuntu系统,执行命令更新:
sudo apt update && sudo apt dist-upgrade
- IBM产品修复:
- 升级IBM Watson Speech Services Cartridge至4.8版本,下载地址:IBM官方更新页面。
- 临时缓解措施(如无法立即升级):
- 在CUPS配置文件
cupsd.conf中设置preservejobfiles no,禁用打印作业文件保存。 - 限制防火墙规则,仅允许受信任用户访问CUPS服务。
- 在CUPS配置文件
总结
CVE-2023-32360是一个需优先处理的敏感信息泄露漏洞,影响范围覆盖操作系统及特定企业级软件。建议用户尽快通过官方渠道更新系统或应用补丁,以降低安全风险。
根据您提供的apt-listchanges信息,CVE-2023-32360也存在于CUPS(通用Unix打印系统)中,影响范围更广,不仅限于苹果macOS。以下是补充说明:
CVE-2023-32360的跨平台影响
-
漏洞本质
该漏洞源于CUPS服务对CUPS-Get-Document接口的访问控制缺陷,未授权用户可通过网络(本地或远程)获取打印队列中的文档内容。 -
受影响系统
- 苹果macOS:通过CUPS服务组件(系统自带)。
- Linux发行版:如Debian、Ubuntu等使用CUPS的系统。
-
修复措施
- 苹果:通过系统更新(如macOS Ventura 13.4)修复。
- Debian/Ubuntu:发布CUPS补丁包(如
cups=2.2.10-6+deb10u9),并要求用户手动检查配置文件/etc/cups/cupsd.conf。
用户操作建议
-
更新CUPS服务
- Debian/Ubuntu用户:
sudo apt update && sudo apt upgrade cups
- Debian/Ubuntu用户:
-
检查配置文件
确保/etc/cups/cupsd.conf中包含以下限制:<Limit CUPS-Get-Document> AuthType Default Require user @OWNER @SYSTEM Order deny,allow </Limit>- 关键行:
AuthType Default强制身份验证。
- 关键行:
漏洞扩展说明
- CVSS评分:该漏洞在CUPS中的评分可能更高(需参考具体评估),因为远程攻击者可能直接利用网络访问。
- 关联事件:该漏洞最初在macOS中被披露,但后续发现CUPS服务本身存在相同逻辑缺陷,导致跨平台风险。
如果您使用Linux系统,建议立即执行上述操作以避免敏感文档泄露。
CVE-2023-32360 是一个与身份验证相关的漏洞,通过改进状态管理来解决。该漏洞允许未经过身份验证的用户访问最近打印的文档。它影响了多个版本的 macOS 系统,包括 macOS Big Sur 11.0 到 11.7.7 之前的版本、macOS Monterey 12.0 到 12.6.6 之前的版本以及 macOS Ventura 13.0 到 13.4 之前的版本。此外,运行在不同操作系统上的 CUPS 服务也受到影响,例如在 AlmaLinux、Amazon Linux、CentOS、Debian、Oracle Linux、Red Hat Enterprise Linux、Rocky Linux、SUSE Linux 等系统上运行的 CUPS 版本。
针对该漏洞,Apple 公司在 macOS Big Sur 11.7.7、macOS Monterey 12.6.6 和 macOS Ventura 13.4 中进行了修复。其他受影响的系统也通过各自的更新和补丁来解决这一问题,例如 Debian、Ubuntu、Oracle Linux 等系统都有相应的安全更新来修复 CVE-2023-32360 漏洞。
在 Debian 系统中,更新 cups 到版本 2.2.10-6+deb10u9 可以解决该漏洞。这是一个配置修复,可能不会影响到那些只更新 'cups-daemon' 而不是进行全新安装的用户。因此,建议用户检查 /etc/cups/cupsd.conf 文件,确保其中限制了对 CUPS-Get-Document 的访问,类似以下配置:
<Limit CUPS-Get-Document>
AuthType Default
Require user @OWNER @SYSTEM
Order deny,allow
</Limit>
重要的是在该部分中包含 'AuthType Default' 这一行。
你在执行 apt upgrade 时看到的 apt-listchanges 提示是 CUPS 打印服务的关键安全更新,涉及高危漏洞 CVE-2023-32360。以下是问题解析和解决方案:
问题背景
- 漏洞影响:攻击者可通过未授权的
CUPS-Get-Document接口获取本地或远程文档(如打印任务内容)。 - 修复方式:通过配置更新限制接口访问权限,但该修复不会自动覆盖现有安装的配置文件(
/etc/cups/cupsd.conf)。
操作步骤
1. 确认配置文件
- 打开配置文件(注意文件名可能是
cupsd.conf,而非日志中笔误的cupds.conf):sudo nano /etc/cups/cupsd.conf - 检查是否包含以下配置段(核心是
AuthType Default):<Limit CUPS-Get-Document> AuthType Default Require user @OWNER @SYSTEM Order deny,allow </Limit> - 若缺失:手动添加该段并保存。
2. 应用配置更改
- 重启 CUPS 服务:
sudo systemctl restart cups - 验证服务状态:
sudo systemctl status cups
3. 处理升级流程
- 按
q退出apt-listchanges提示,继续完成apt upgrade操作。 - 若后续有其他配置冲突提示(如
cupsd.conf被修改),选择 “保留本地版本” 或手动合并更新。
4. 验证修复
- 检查 CUPS 版本(应 ≥ 2.2.10-6+deb10u9):
dpkg -l cups - 尝试通过未授权用户访问打印文档接口,确认访问被拒绝。
注意事项
- 升级兼容性:如果正在从 Debian 10(Buster)升级到更高版本(如 Debian 11/12),需注意 CUPS 配置可能在新版本中有额外调整。
- 备份配置:修改前建议备份原文件:
sudo cp /etc/cups/cupsd.conf /etc/cups/cupsd.conf.bak - 长期维护:建议定期检查安全更新,或配置
unattended-upgrades自动安装安全补丁。
若升级后仍存在问题,可尝试彻底卸载并重装 CUPS:
sudo apt purge cups && sudo apt install cups
但需重新配置打印服务。
