kaze channel
消息称将在两周后披露一个可能影响所有GNU/Linux系统的重大漏洞 该消息称: * Canonical, RedHat和其他厂商已确认严重性,评分为9.9分 * 目前依然没有可用的修补 * CVE编号依然未分配 * 开发人员仍在争论其中的某些问题是否真的存在安全方面的影响 原文链接 * 建议审慎看待该消息内容,等待各发行版官方说明和通告并及时更新
今天发现该漏洞的研究人员开始披露漏洞的细节,该漏洞位于 CUPS 组件中 (通用 UNIX 打印系统),有些情况下这是默认启用的,有些情况下则没有默认启用。未经身份验证的攻击者可以远程悄悄利用恶意 URL 替换现有打印机的 IPP URL 或安装新的打印机 IPP URL,从而导致启动打印作业时在该计算机上执行任意命令。其中在公网上攻击者只需要远程向设备 UDP 631 端口发送特制数据包即可,无需任何身份验证;如果是在内网,则可以通过欺骗 zeroconf/mDNS/DNS-SD 实现相同的操作。

受影响的操作系统包括大多数 Linux 发行版、部分 BSD 系统、ChromeOS/ChromiumOS、Oracle Solaris,或许还有更多系统受影响。

已分配的CVE:
* CVE-2024-47176:cups-browsed<= 2.0.1,绑定在 UDP INADDR_ANY:631 上信任来自任何来源的数据包并触发 Get-Printer-Attributes 对攻击者控制的 URL 的 IPP 打印请求。
* CVE-2024-47076:libcupsfilters <= 2.1b1,cfGetPrinterAttributes5 未验证或清理从 IPP 服务器返回的 IPP 属性,从而向 CUPS 系统的其余部分提供攻击者控制的数据。
* CVE-2024-47175:libppd <= 2.1b1,ppdCreatePPDFromIPP2 在将 IPP 属性写入到临时 PPD 文件时不会验证或清理,从而导致在生成的 PDD 中注入攻击者控制的数据。
* CVE-2024-47177:cups-filters <= 2.0.1,foomatic-rip 允许通过 PPD 参数执行任意命令 FoomaticRIPCommandLine

缓解措施:
如果你根本不需要服务器上的打印机服务,可删除cups-browsed相关包。否则需及时更新CUPS相关包
如果你一时半会儿没法升级也没法删除,那就防火墙把UDP631端口入站干掉

ref: 蓝点