今天凌晨,科技媒体cyberkendra爆出一条让我后背发凉的消息:Linux打印服务CUPS被曝出两个严重安全漏洞,攻击者无需任何凭证,就能通过网络远程执行代码,并且直接提权到root——完全控制你的服务器。
更可怕的是,截至2026年4月5日,官方还没有发布修复补丁。也就是说,你现在用的绝大多数Linux服务器(包括Ubuntu、CentOS、Debian等),只要开启了CUPS服务,都可能处于“裸奔”状态。
这不是演习。我们一条条来看。
一、漏洞有多严重?零点击→root权限
安全研究员Asim Manizada在AI辅助下发现了这个漏洞链,涉及两个CVE:
- CVE-2026-34980:远程代码执行
- CVE-2026-34990:本地提权到root
组合起来,攻击流程是这样的:
- 攻击者向共享PostScript队列发送一个恶意打印任务;
- 利用CUPS对换行符转义处理的逻辑缺陷,注入恶意PPD配置标记;
- 以
lp用户身份执行任意代码(远程代码执行); - 然后通过CVE-2026-34990,一个没有特权的本地用户(这里指已经拿到lp权限的攻击者)可以绑定TCP端口,创建临时打印机,诱骗CUPS暴露管理token;
- 最终利用竞态条件,将任意打印任务转化为写入
/etc/sudoers.d/的操作,直接获得root权限。
简单翻译:攻击者只要能从网络访问到你的CUPS服务,就可以像逛自家后院一样,在你的服务器上写任何文件,包括添加一个永远拥有最高权限的用户。
这不是理论攻击。PoC(概念验证)代码已经在安全社区流传。
二、影响范围:几乎所有Linux发行版
CUPS(通用Unix打印系统)是Linux和macOS系统上最主流的打印解决方案。默认情况下,很多服务器为了省事会安装CUPS(尤其是带GUI的发行版),即使你根本不需要打印。
受影响的版本:CUPS 2.4.16及之前的所有版本(官方尚未发布修复版)。
截至2026年4月5日,虽然代码库中有人提交了修复,但没有正式补丁。
也就是说,你现在去打apt update或者yum update,根本更新不到安全版本。
三、站长自查:你的服务器中招了吗?
执行以下命令,检查CUPS服务是否在运行:
systemctl status cups如果显示active (running),并且你不是必须使用打印功能,建议立即停止并禁用服务:
systemctl stop cups
systemctl disable cups同时检查防火墙:CUPS默认监听631端口(TCP)。如果必须保留CUPS,请在防火墙规则中限制只允许可信IP访问:
iptables -A INPUT -p tcp --dport 631 -s 你的信任网段 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j DROP但说句实话:在没有官方补丁之前,最稳妥的方案就是完全禁用CUPS。
四、为什么这个漏洞让我特别紧张?
作为站长,我们平时关注的漏洞大多是Web层面的(SQL注入、XSS、文件上传等),但系统服务级别的漏洞才是真正的“大杀器”。
- Web漏洞可能让你拿到低权限shell;
- CUPS这个漏洞直接给你root。
而且它有一个很“阴”的地方:很多站长根本不知道自己服务器上跑了CUPS。你装系统时选了“打印机支持”,或者某个依赖顺手装上了,然后它就默默开着端口等你被黑。
等到你的网站被挂马、数据库被删、甚至被用来挖矿,你都不知道是从哪个后门进来的。
五、防御:从“事后救火”到“事前阻断”
这个漏洞再次印证了一个老生常谈的道理:主机安全,防御在于纵深,而不在于某一个点。
单靠禁掉CUPS,能解决今天的漏洞。那明天呢?下个月呢?总有新的0day出现。
站长的安全感,应该来自于一套完整的主机安全防御体系。我给大家三个层次的建议:
1. 基础层:最小化安装 + 定期漏洞扫描
- 不用的服务一律不装(比如CUPS、Samba、FTP等);
- 每季度用
lynis或vuls做一次漏洞扫描; - 订阅安全公告,及时打补丁(哪怕是自己手动编译)。
2. 进阶层:部署主机入侵检测(HIDS)
像CUPS这种漏洞,攻击者执行恶意命令时,如果有HIDS监控,可以第一时间告警甚至拦截。推荐使用开源Wazuh或者商业产品。
3. 企业层:把服务器放进“安全容器”
如果你有重要的业务服务器,不要裸奔在公网。建议:
- 接入高防IP:所有流量先经过清洗节点,恶意探测包直接被拦截;
- 使用高防服务器:自带流量清洗和入侵防御策略,即使某个服务有0day,攻击流量也会在边缘被识别和阻断;
- 部署WAF:虽然WAF主要针对Web,但像百度云防护WAF也支持自定义规则,可以针对CUPS的631端口做访问控制或协议检查。
重点推荐:本站提供的高防服务器,不仅抗DDoS,还内置了基于行为分析的入侵检测模块。当检测到异常进程创建或提权行为时,可以自动隔离实例,防止漏洞被利用。购买高防服务器即赠送一次深度安全基线检查,帮你找出系统中所有不必要的开放服务。
六、真实场景:如果这个漏洞被大规模利用
想象一下:
- 你运行着一台电商服务器,上面跑着CUPS(你根本不知道);
- 攻击者扫描全网631端口,发现你的IP;
- 发送一个恶意打印任务,拿到lp权限,再提权到root;
- 植入挖矿程序、勒索病毒,或者把你的数据库拖走。
第二天醒来,网站挂了,数据没了,用户骂声一片。你花三天重装系统、恢复备份,发现排名掉了,客户也跑了。
而这个悲剧,本来只需要一句systemctl stop cups就能避免。
七、总结与行动清单
今天这篇文章,我希望你立刻做三件事:
- 马上检查CUPS状态,如果不需要就禁用它;
- 检查防火墙,确保631端口不暴露在公网;
- 反思整体安全策略——你是不是还有很多类似CUPS的“隐形风险”?
如果需要专业帮助,主机吧提供服务器安全加固服务:
- 远程漏洞扫描(免费)
- 系统基线配置加固
- 高防服务器/高防IP接入方案设计
本站安全产品推荐
| 产品 | 解决什么问题 | 适用场景 |
|---|---|---|
| 百度云防护WAF | Web攻击、CC、恶意扫描 | 网站、API、小程序 |
| 京东云星盾SCDN | DDoS清洗、全球加速、隐藏源站 | 电商、游戏、下载站 |
| 高防IP | 四层全协议防护、T级抗D | 游戏、金融、政企 |
| 高防服务器 | 自带入侵检测、系统加固、防提权 | 核心业务、数据库、自建应用 |
| SSL证书 | 加密传输、防劫持 | 所有网站 |
👉 紧急提醒:即日起至4月15日,通过主机吧购买高防服务器或高防IP,额外赠送CUPS漏洞专项检测服务(手动排查+修复建议)。点击右下角联系站长,备注“CUPS漏洞”,优先处理。
安全是一场没有终点的马拉松。每一次漏洞爆发,都是对我们防御体系的一次大考。
关注主机吧,每天一篇实战教程,帮你把服务器武装到牙齿。
