Proteja seu sistema SUSE contra falhas críticas no HPLIP (CVE-2026-8631, CVE-2026-8632, CVE-2025-43023). Comandos para verificar versão vulnerável, script de atualização automática, mitigação com iptables/AppArmor e recomendações de estudo. Conteúdo útil por anos.
O que aconteceu?
Em maio de 2026, foram descobertas falhas graves no HPLIP, o driver para impressoras HP no Linux. O problema afetava sistemas SUSE openSUSE Leap e SUSE Linux Enterprise. A correção veio com a atualização para a versão 3.26.4.
As vulnerabilidades tinham pontuações CVSS entre 7.5 e 9.8, o que significa risco de execução remota de código e escalada de privilégios.
Três CVEs principais foram corrigidas:
Além disso, havia um problema de negação de serviço (ReDoS) não autenticado no parser SLP.
⚠️ Importante: A data exata do anúncio (maio/junho de 2026) é apenas um marco. O que realmente importa é saber que o HPLIP 3.26.4 é a versão segura. Versões anteriores (como 3.26.3 e abaixo) contêm essas falhas.
Como verificar se você está vulnerável
Execute os comandos abaixo no seu terminal para identificar sua versão do HPLIP e verificar se o sistema está desprotegido:
# Verifica a versão do HPLIP instalada hp-info --version # Alternativa: consulta o pacote instalado (SUSE/openSUSE) rpm -q hplip # Verifica se o serviço hplip está rodando systemctl status hplip # Checa por processos relacionados ps aux | grep -E "hp|hplip" | grep -v grep
Comparação das versões:
🟢 hplip-3.26.4-1.1 ou superior → SEGURO (versão corrigida)
🔴 hplip-3.26.3 ou inferior → VULNERÁVEL
Script de automação para aplicar a correção (SUSE/openSUSE)
Salve o script abaixo como fix-hplip.sh e execute com sudo bash fix-hplip.sh.
#!/bin/bash # Script de correção automática para HPLIP (SUSE/openSUSE) # Versão segura: 3.26.4 set -e echo "=== Atualização de segurança do HPLIP ===" CURRENT_VERSION=$(rpm -q hplip --queryformat "%{VERSION}" 2>/dev/null || echo "0") if [[ "$CURRENT_VERSION" == "3.26.4" ]]; then echo "✅ Versão $CURRENT_VERSION já está segura. Nada a fazer." exit 0 fi echo "⚠️ Versão atual: $CURRENT_VERSION" echo "🔧 Aplicando atualização de segurança..." # Força a atualização do repositório sudo zypper refresh # Aplica o patch específico do SUSE sudo zypper patch -y --cve=CVE-2025-43023 --cve=CVE-2026-8631 --cve=CVE-2026-8632 # Alternativa: atualiza o pacote completo sudo zypper update -y hplip # Verifica se a atualização foi bem-sucedida NEW_VERSION=$(rpm -q hplip --queryformat "%{VERSION}") if [[ "$NEW_VERSION" == "3.26.4" ]]; then echo "✅ Atualização concluída! Versão $NEW_VERSION instalada." else echo "❌ Falha na atualização. Verifique manualmente." exit 1 fi # Reinicia serviços relacionados à impressão sudo systemctl restart cups sudo systemctl restart hplip 2>/dev/null || true echo "=== Correção aplicada com sucesso ==="
Como usar: Salve o código, dê permissão de execução (chmod +x fix-hplip.sh) e execute sudo ./fix-hplip.sh.
📗 Recomendação de Leitura
Segurança em servidores Linux: Ataque e Defesa (anúncio) -> https://amzn.to/4xofQbt
Se você prefere estudar em português e quer aprender a "pensar como um hacker" para se antecipar a invasões, essa é a pedida! O livro ensina a usar as ferramentas prediletas dos invasores (como Nmap e Netcat) a seu favor, blindando seus sistemas.
Eu ganho uma comissão quando você faz uma compra.
Se você não puder atualizar imediatamente, adote as seguintes medidas paliativas:
🔥 Bloqueio com iptables
# Bloqueia tráfego SLP (porta 427) que pode ser usado no ataque ReDoS sudo iptables -A INPUT -p udp --dport 427 -j DROP sudo iptables -A INPUT -p tcp --dport 427 -j DROP # Para persistir as regras no SUSE sudo systemctl enable iptables sudo iptables-save > /etc/sysconfig/iptables
Isolamento com AppArmor
Crie um perfil restritivo para o HPLIP:
sudo aa-genprof /usr/bin/hp-plugin sudo aa-enforce /usr/bin/hp-plugin
Desativação temporária do plugin automático
# Impede o carregamento automático de plugins não verificados sudo hp-plugin -i -g -x
Configuração de proxy restritivo
Edite /etc/hplip/hplip.conf:
[commands] verify = 0 skip_plugin_download = 1
Conclusão
Corrigir o HPLIP é simples: execute sudo zypper update hplip. Mas o verdadeiro aprendizado está em entender por que essas falhas ocorrem.
O CVE-2026-8631 é um estouro de inteiro que leva a heap overflow; o CVE-2026-8632 é uma injeção de comandos; o CVE-2025-43023 é uma chave criptográfica fraca.
Nunca ignore atualizações de segurança, mesmo em componentes "simples" como drivers de impressora. Um driver malicioso pode comprometer todo o sistema.
Nenhum comentário:
Postar um comentário