Avant de lire plus loin, s'il vous plait, lancez sudo systemctl disable --now cups-browsed
.
Plusieurs failles de sécurité ont été publiées concernant le serveur d'impression Linux CUPS et des logiciels qui y sont liés. Combinées, elles permettent à un utilisateur distant de faire exécuter du code en tant que root lors d'une impression initiée par un utilisateur du système. En particulier, elle permet donc à un utilisateur local de devenir root par ce biais.
La plupart des systèmes Linux de bureau activent CUPS et cups-browsed
par défaut. Certains serveurs sur internet exposent cups-browsed signale l'auteur.
L'auteur a tenté de suivre une procédure de responsible disclosure, ça ne s'est pas bien passé : alors que nous sommes encore théoriquement sous embargo, les failles sont déjà publiques avec des codes d'exploitation disponibles immédiatement (ou très faciles à reconstruire). Les correctifs ne sont pas encore publiés. À l'heure où j'écris ce journal, ni RedHat ni Debian n'ont publié de mise à jour de CUPS.
Il semble prudent, dans l'attente, de désactiver le service cups-browsed
qui auto-installe des imprimantes réseau sans interaction avec l'utilisateur.
Références :
- Bulletin d'alerte du CERT-FR
- Attacking UNIX Systems via CUPS, Part I (par la personne qui a découvert et signalé le problème)
- lien linuxfr annonçant la publication de la faille (avant-hier)
# désactivé par défaut
Posté par Psychofox (Mastodon) . Évalué à 4 (+1/-0). Dernière modification le 27 septembre 2024 à 23:11.
Je crois que ce service n'est justement activé par défaut sur aucune distro digne de ce nom. Ça ne l'est en tout cas pas sur fedora / rhel / archlinux…
[^] # Re: désactivé par défaut
Posté par oau . Évalué à 1 (+0/-0).
hello,
je n'ai pas lu mais cups ça écoute pas sur 127.0.0.1 par défaut ?
oau
[^] # Re: désactivé par défaut
Posté par Gilles Mocellin . Évalué à 1 (+0/-0).
Attention, cupsd écoute sur localhost, oui.
Mais pas cups-browsed ! Et attention, c'est en UDP.
Pour voir vraiment ce qui écoute sur ce port 631 :
$ sudo lsof -i :631
Sur ma Debian sid, j'avais bien un cups-browsed qui écoutait en UDP sur le port 631, sans restriction d'adresse ou d'interface.
# cups-browsed pas cupsd
Posté par Gilles Mocellin . Évalué à 1 (+0/-0). Dernière modification le 28 septembre 2024 à 00:03.
Mince, comment on supprime un message ?
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.