При установке драйвера принтера Samsung SCX-4200 (http://www.samsung.com/us/support/download/supportDownDetail...), создается огромная брешь (http://it.slashdot.org/article.pl?sid=07/07/18/0319203&from=rss) в безопасности системы. Некоторые вспомогательные утилиты и такие приложения как xsane, xscanimage, и OpenOffice.org начинают всегда выполняться с привилегиями суперпользователя.
Причина в автоматической установке, инсталляционным скриптом из комплекта драйверов, "set-uid root" прав для ряда стандартных приложений, имеющих отношение к печати.URL: http://it.slashdot.org/article.pl?sid=07/07/18/0319203&from=rss
Новость: http://www.opennet.me/opennews/art.shtml?num=11462
вот Вам и Квалифицированные программеры производителя
Дык .... может себе старались
Мана-мана
я всегда знал что самсунг ХАЛТУРЩИКИ, но что до такой степени - не думал!
Мдя
Самсуньк не так от MS-а добро получил на использование Linux в своих разработках,
видимо МS-овцы и советом помогли :)
Подтверждаю проблему.
Сам наткнулся где-то месяц назад. Вот тут описал подробно:
http://linuxforum.ru/index.php?showtopic=44033[quote]
Довожу до общего сведения, что инсталлятор драйверов из версии 20070425141808453_UnifiedLinuxDriver.tar.gz делает некоторые неочевидные и странные вещи.
А именно, оборачивает программы xsane, xscanimage, soffice.bin СУИДНЫМИ(!) врапперами.Обнаружил это сегодня. У меня есть общий ресурс на nfs, куда пользователи складывают документы. Естественно, у рута там права ниже плинтуса. Поступила жалоба от сотрудницы, которой я вчера поставил сей девайс с новыми драйверами, что она не может записать файл в свой каталог на общем ресурсе. Каково было мое удивление, когда я увидел в списке процессов soffice.bin.bin, запущенный от рута, который держал открытым указанный файл с общего ресурса. Поиск в гугле прояснил ситуацию. Почитал файл install.sh от драйверов.. много думал.. Лечится просто. Удаляется суидный soffice.bin, а soffice.bin.bin переименовывается обратно в soffice.bin.
Причина этого вполне понятна - от обычного пользователя сканер в этом МФУ не работает. Но такого я не ожидал.. Похоже, что программисты Samsung не смогли придумать механизм общения с их сканером без прав рута и решили проблему просто - сделали суидными те приложения, которые вспомнили.. Я все понимаю, но СУИДНЫЙ OpenOffice.org - это жесть.. и за это надо бить, возможно, даже ногами.
sane работать с ним не будет, скорее всего, никогда.. ибо, насколько я понял из показаний strace, где-то внутри либы libmfp есть вызов setuid. Если scanimage запускается от обычного пользователя, то setuid не срабатывает. При этом, scanimage почему-то падает по segmentation fault, хотя должно было бы корректно выйти с сообщением об ошибке.
Собственные приложения конфигурирования и сканирования также суидные и выполняются с правами рута.
В общем, будьте бдительны.. закрытое ПО может нас поиметь
[/quote]
>Подтверждаю проблему.
>Сам наткнулся где-то месяц назад. Вот тут описал подробно:
>http://linuxforum.ru/index.php?showtopic=44033
>
>[quote]
>Довожу до общего сведения, что инсталлятор драйверов из версии 20070425141808453_UnifiedLinuxDriver.tar.gz делает некоторые
>неочевидные и странные вещи.
[skipped]
>В общем, будьте бдительны.. закрытое ПО может нас поиметь
>[/quote]
Да, вот это хороший камент, предлагаю ссылку на него в тело новости.
МММ у меня такойже unified driver от самсунга только дял устрйоства SCX-4100, так вот xsane от простого юзера не видит сканера вобще, если запустить от рута все норм, решается очень просто - chmod 777 /dev/lp0 в инит-скрипты. Думаю вышеозначенную проблему можно решить также.
>МММ у меня такойже unified driver от самсунга только дял устрйоства SCX-4100,
>так вот xsane от простого юзера не видит сканера вобще, если
>запустить от рута все норм, решается очень просто - chmod 777
>/dev/lp0 в инит-скрипты. Думаю вышеозначенную проблему можно решить также.Для 4100 по крайней мере печать (сканер там не был нужен) работала с перепакованным драйвером:
http://hathawaymix.org/Weblog/2005-07-15
http://oskari.saarenmaa.fi/rpm/С диска брать было нельзя ни в коем случае, корёжил libqt-mt, судя по предварительному прощупыванию почвы гуглем. Поскольку эта сборка заработала сразу и без выкрутасов, проверять ровность 2.x с сайта уже не стал.
Короче, все кроме сканера прекрасно работает без SUID. Драйвер сканера у них так написан, что без SUID оно работать не способно. Даже если есть права на USB. Единственный вариант тут это какой-нить SELinux или RSBAC IMHO. Ну еще есть вариант bit-hack, но боюсь за это никто не возьмется, хотя где-то в нете натыкался на пост, со ссылкой бинарно патченную либу для старой версии драйверов.
Да, и я ставил все руками не рискнув запустить их скрипт!А вообще МФУ - suxx... А уж Sumsung со своими дровами так вообще.
PS: У меня Xerox Workcentre 3119, который является полным OEM-клоном Samsung SCX-4200.
> PS: У меня Xerox Workcentre 3119, который является полным OEM-клоном Samsung SCX-4200.А разве не наоборот?
Да, ладно... кривовато вышло, но паники-то навели..
я, кстати, все пакеты и sane,openoffice сносил потом не раз... так что никакого set-uid root уже нет... и все работает...
вот кстати патч под драйвера...
http://jacobo.tarrio.org/Samsung_SCX-4200_on_Debian
(работает не только под debian)
Кстати - рекламка нехилая!
Может, Самсунь намеренно?
IMHO, для целей [около]_персонального_ юзания, можно и sudoers настроить для sane...
Гнусмас он и в Африке Гнусмас