Обновление HPLIP не исправило критическую уязвимость: CVE-2026-14544 угрожает системам Linux с CVSS 9,8

HP Inc

Cтало известно о критической уязвимости в пакете HP Linux Imaging and Printing Software (HPLIP), используемом для печати на Linux-системах. Проблема получила идентификатор CVE-2026-14544 и оценку 9,8 балла по шкале CVSS v3 - максимальный уровень опасности. Причиной уязвимости стало неполное исправление ранее обнаруженной бреши CVE-2026-8631, что ставит под сомнение качество патч-менеджмента в широко распространённом продукте.

Уязвимость CVE-2026-14544

Уязвимость локализована в компоненте hpcups, отвечающем за обработку заданий печати. Специалисты Red Hat, выпустившие бюллетень безопасности, классифицировали её как целочисленное переполнение (CWE-190). Злоумышленник, способный отправить на уязвимую систему специально сформированный принт-джоб, может вызвать переполнение целого числа в конвейере обработки данных. Это, в свою очередь, ведёт к повреждению памяти и потенциально позволяет выполнить произвольный код от имени пользователя lp, под которым обычно работают фильтры печати. Успешная эксплуатация даёт возможность атакующему повысить привилегии в системе и получить более широкий контроль над ней.

Особая опасность ситуации заключается в том, что для атаки не требуются ни аутентификация, ни какое‑либо взаимодействие с пользователем. Достаточно отправить вредоносное задание на уязвимую очередь печати. Это резко расширяет поверхность атаки, особенно в корпоративных средах, где используются централизованные серверы печати или автоматизированные рабочие процессы. Сеть печати, доступная множеству пользователей, может быть использована как вектор для компрометации всей системы.

Уязвимость затрагивает последние версии Red Hat Enterprise Linux: RHEL 8, RHEL 9 и недавно выпущенный RHEL 10. Более старые релизы - RHEL 6 и RHEL 7 - не содержат уязвимого кода и потому не подвержены проблеме. По состоянию на момент публичного раскрытия информации официальных исправлений ещё не существовало. Такая задержка повышает срочность для организаций: им необходимо внедрять компенсирующие меры контроля, пока поставщик не выпустит патч.

С технической точки зрения, уязвимости класса целочисленного переполнения способны вызывать непредсказуемое поведение: сбои, логические ошибки, отказ в обслуживании. В данном случае переполнение может изменить логику выполнения программы или дать начало переполнению буфера. Атакующий способен обойти защитные механизмы и выполнить несанкционированные команды. Полное воздействие на конфиденциальность, целостность и доступность делает эту проблему критически рискованной для продуктивных систем.

Исследователи безопасности обращают внимание на то, что вектор атаки через службы печати - не нов. Печатные очереди и драйверы традиционно считаются слабым звеном в ИТ-инфраструктуре, и подобные уязвимости в HPLIP уже всплывали прежде. Повторение ситуации с неполным исправлением свидетельствует о необходимости более тщательной проверки патчей на предмет регрессий и неучтённых багов.

Пока официальное обновление не выпущено, Red Hat рекомендует принять временные меры защиты. Самый надёжный способ - ограничить доступ к службам печати, разрешив отправку заданий только доверенным пользователям и из доверенных сетей. Если HPLIP не используется для повседневной работы, администраторы могут удалить пакет hplip целиком - это полностью устранит уязвимость, хотя и может нарушить функциональность печати. Организациям следует внимательно следить за бюллетенями производителя и устанавливать патчи, как только они станут доступны.

Проблема CVE-2026-14544, помимо прочего, подчёркивает важность дисциплины в процессе исправления уязвимостей. Неполное закрытие предыдущей CVE-2026-8631 привело к появлению ещё более опасной бреши. Для команд, ответственных за безопасность, это напоминание о необходимости не только выпускать патчи, но и проверять их полноту, особенно для компонентов, работающих с привилегированными процессами.

В условиях, когда всё больше предприятий переходят на гибридные и полностью облачные инфраструктуры, а печать остаётся неотъемлемой частью офисных и промышленных процессов, уязвимости такого уровня требуют быстрой реакции. Пока вендоры и сообщество работают над исправлениями, ответственность за безопасность ложится на плечи системных администраторов, вынужденных балансировать между функциональностью печати и защитой от потенциальных атак.

Ссылки

Комментарии: 0