1. DC
  2. Tests & Artikel
  3. News
  4. CVE-2026-34980 und 34990

CVE-2026-34980 und 34990: Sicherheitslücke im freien Linux-Drucksystem "CUPS"

von Ronny Budzinske

Mittels künstlicher Intelligenz wurden Sicherheitslücken im "Common Unix Printing System" entdeckt, die die Ausführung von beliebigem Code mit Root-Rechten ermöglichen. Dafür muss Cups jedoch als Netzwerk-Druckerserver konfiguriert sein, was im Privatumfeld selten der Fall ist. Betroffen sind sämtliche Versionen bis 2.4.16.


Ein Team um die Sicherheitsforscher Asim Viladi Oglu Manizadə (Ingenieur bei SpaceX) hat Sicherheitslücken im Unix/Linux-Drucksystem Cups ("Common Unix Printing System") offengelegt. Inspiriert wurde Manizadə von Arbeiten des italienischen Sicherheitsforschers Simone Margaritelli aus dem Jahr 2024. Gefunden wurden die Schwachstellen mit Hilfe eines KI-Agenten.

Cups ist besonders im Linux-Umfeld stark verbreitet und bietet auch die Basis von Apples Drucksystem, aus dem später Airprint entwickelt wurde. Von den nun offengelegten Lücken sind Mac- oder iOS-Systeme jedoch nicht betroffen.

Die beiden Lücken wurden auf einer Skala von 1 bis 10 (kritisch) mit 6.1 und 5.0 in der Bedrohlichkeitsstufe "Mittel" klassifiziert. Problematisch wird es erst in Kombination aus beiden Lücken, die jedoch eine spezielle Konfiguration von Cups voraussetzen.

CVE-2026-34980

Das Einfallstor ist die Schwachstelle CVE-2026-34980. Die Grundvoraussetzung ist die Erreichbarkeit des Cups-Servers über das Netzwerk, der zudem eine gemeinsam genutzte Postscript-Warteschlange bereitstellt. Mit dieser Konfiguration wird anderen Computern (im gleichen Netzwerk) ein gemeinsamer Druckerzugriff ermöglicht. Bei privaten Installationen ist das in der Regel nicht der Fall.

Beim Angriff wird dem Cups-Server ein Drucker vorgegaukelt, der bei der automatischen Einrichtung manipuliert ist und Schadcode (mit) installiert. Ausgeführt wird dieser in der Regel jedoch erst beim nächsten Druckauftrag und auch "lediglich" unter dem rechteseitig eingeschränkten User "lp", der Cups zugeordnet ist.

CVE-2026-34990

Problematisch wird die Sache mit der Kombination (oder Verkettung) mit der ebenfalls gefundenen Sicherheitslücke CVE-2026-34990, die selbst ebenfalls lediglich in der Stufe "Mittel" eingestuft wurde.

Diese greift bereits in der Standardkonfiguration. Mittels dieser "Autorisierungslücke" ist ein potenzieller Angreifer in der Lage, den eingeschleusten Code mit niedrigen Rechten (Benutzer "lp") mit Root-Rechten auszuführen, die eigentlich für die Warteschlange selbst vorgesehen wurden.

Ausnutzung unklar

Es ist noch nicht bekannt, ob die Lücke aktiv ausgenutzt wird. Sicherheitshalber sollte man dennoch den Dienst "cups-browsed" stoppen, bis ein wirksames Update installiert wurde. Ein offizieller Patch steht derzeit jedoch noch nicht zur Verfügung, mit einer Aktualisierung wird aber in Kürze gerechnet.

08.04.26 23:14 (letzte Änderung)

4 Wertungen

 
1

Offenlegung - Provisionslinks

Wir erhalten bei einer Vermittlung zum Kauf oder direkt beim Klick eine Provision vom Anbieter.

Alle Preise enthalten die derzeit gültige MwSt. und verstehen sich zzgl. Versandkosten. Der Preis sowie die Verfügbarkeit können sich mittlerweile geändert haben. Weiß hinterlegte Preise gelten für ein baugleiches Gerät. Alle Angaben ohne Gewähr.

Forum Aktuell
21:50
21:10
18:39
15:17
14:13
Artikel
10.07. Xerox B110, B105 und B115: Einfachste Monolaser mit Samsung-​Technik
09.07. ReadyPrint Flex: Epson prüft die Einführung neuer Tintenabos mit mehr Flexibilität und ohne Fixkosten
06.07. HP-​Verbrauchsmaterialien: Maßnahmen und Erfolge gegen Drittanbieter von Tinten-​ und Tonerkartuschen
01.07. Epson und "Windows Ready Print": Epson steht (zunächst) ohne Druckunterstützungs-​App da
30.06. Druckunterstützungs-​Apps (PSA) für "Windows Ready Print": Alles so schön bunt hier!
25.06. Ricoh ScanSnap Home: Softwareupdate für "ScanSnap Home" und Hardware-​OCR beim iX2500 freigeschaltet
23.06. Canon i-​Sensys MF275dw II, MF272dw II & LBP122dw II: Behutsames Facelift für die Monolaser-​Kompaktklasse
22.06. Xerox C200-​ und C300-​Serie (2026): Kombinierte Farblaser-​Einstiegsklasse von Lexmark und Xerox
16.06. Shrinkflation: Tintenpatronen-​Overkill
15.06. HP 302/304: Zusammenlegung geht bei 302er Tintenpatronen auf Kosten von Reichweite und Seitenpreis
12.06. Brother × Ricoh: "Strategische Allianz" ist nun auch in Europa angekommen
11.06. Windows Ready Print: Microsoft macht Wechsel auf Mopria-​Druckertreiber umschaltbar
Beliebte Drucker
ab 144,89 €1 Canon Maxify MB5150

Multifunktionsdrucker (Pigmenttinte)

ab 363,99 €1 Epson Ecotank ET-4950

Multifunktionsdrucker (Tinte)

ab 322,98 €1 Epson Ecotank ET-3950

Multifunktionsdrucker (Tinte)

ab 386,90 €1 Canon i-Sensys MF752Cdw II

Multifunktionsdrucker (Laser/LED)

  Epson Ecotank L4160

Multifunktionsdrucker (Tinte)

ab 598,49 €1 Epson Ecotank ET-8550

Multifunktionsdrucker, A3 (Tinte)

ab 359,00 €1 Epson Ecotank ET-4951

Multifunktionsdrucker (Tinte)

  Lexmark B2236dw

S/W-Drucker (Laser/LED)

ab 318,99 €1 Epson Ecotank ET-4900

Multifunktionsdrucker (Tinte)

ab 680,00 €1 Epson Ecotank ET-5805

Multifunktionsdrucker (Pigmenttinte)

Merkliste

×
Drucker vergleichen