Journal Faille d'exécution de code à distance / élévation de privilège dans cups

Posté par Samuel (site web personnel) le 27 septembre 2024 à 21:37. Licence CC By‑SA.

Étiquettes :

sept.

2024

Avant de lire plus loin, s'il vous plait, lancez sudo systemctl disable --now cups-browsed.

Plusieurs failles de sécurité ont été publiées concernant le serveur d'impression Linux CUPS et des logiciels qui y sont liés. Combinées, elles permettent à un utilisateur distant de faire exécuter du code en tant que root lors d'une impression initiée par un utilisateur du système. En particulier, elle permet donc à un utilisateur local de devenir root par ce biais.

La plupart des systèmes Linux de bureau activent CUPS et cups-browsed par défaut. Certains serveurs sur internet exposent cups-browsed signale l'auteur.

L'auteur a tenté de suivre une procédure de responsible disclosure, ça ne s'est pas bien passé : alors que nous sommes encore théoriquement sous embargo, les failles sont déjà publiques avec des codes d'exploitation disponibles immédiatement (ou très faciles à reconstruire). Les correctifs ne sont pas encore publiés. À l'heure où j'écris ce journal, ni RedHat ni Debian n'ont publié de mise à jour de CUPS.

Il semble prudent, dans l'attente, de désactiver le service cups-browsed qui auto-installe des imprimantes réseau sans interaction avec l'utilisateur.

Références :

Bulletin d'alerte du CERT-FR
Attacking UNIX Systems via CUPS, Part I (par la personne qui a découvert et signalé le problème)
lien linuxfr annonçant la publication de la faille (avant-hier)

# désactivé par défaut

Posté par Psychofox (Mastodon) le 27 septembre 2024 à 23:10. Évalué à 4 (+1/-0). Dernière modification le 27 septembre 2024 à 23:11.

Avant de lire plus loin, s'il vous plait, lancez sudo systemctl disable --now cups-browsed
La plupart des systèmes Linux de bureau activent CUPS et cups-browsed par défaut.

Je crois que ce service n'est justement activé par défaut sur aucune distro digne de ce nom. Ça ne l'est en tout cas pas sur fedora / rhel / archlinux…

Répondre
- [^] # Re: désactivé par défaut
  
  Posté par oau le 27 septembre 2024 à 23:52. Évalué à 1 (+0/-0).
  
  hello,
  
  je n'ai pas lu mais cups ça écoute pas sur 127.0.0.1 par défaut ?
  
  oau
  
  Répondre
  - [^] # Re: désactivé par défaut
    
    Posté par Gilles Mocellin le 28 septembre 2024 à 00:02. Évalué à 1 (+0/-0).
    
    Attention, cupsd écoute sur localhost, oui.
    Mais pas cups-browsed ! Et attention, c'est en UDP.
    
    Pour voir vraiment ce qui écoute sur ce port 631 :
    
    $ sudo lsof -i :631
    
    Sur ma Debian sid, j'avais bien un cups-browsed qui écoutait en UDP sur le port 631, sans restriction d'adresse ou d'interface.
    
    Répondre
# cups-browsed pas cupsd

Posté par Gilles Mocellin le 28 septembre 2024 à 00:01. Évalué à 1 (+0/-0). Dernière modification le 28 septembre 2024 à 00:03.

Mince, comment on supprime un message ?

Répondre