[TLP:CLEAR] Zraniteľnosti v CUPS umožňujú vzdialené spúšťanie príkazov

CUPS a súvisiace komponenty (cups-browsed, libcupsfilters, libppd, cups-filters) od spoločnosti OpenPrinting postihujú 4 zraniteľnosti, ktoré sú kriticky závažné, ak sú zneužité reťazovo [1]. Hoci sa postihnuté komponenty vyskytujú na väčšine populárnych UNIXových systémoch [1], v predvolenej konfigurácií sú povolené iba v niektorých - potvrdené je Ubuntu vo verzii 24.04, ale dá sa očakávať, že sa to týka aj iných verzií a taktiež nie je možné vylúčiť rovnaký prípad u ďalších UNIXových systémov. Prvou podmienkou zneužitia zraniteľností je služba "cups-browsed" počúvajúca na porte 631 postihnutého zariadenia pomocou protokolu UDP, čo je možné overiť pomocou príkazu "lsof -i :631" [1]. Oficiálna oprava od vývojárov zatiaľ nie je dostupná, ako dočasnú opravu je možné použiť zakázanie/odstránenie služby "cups-browsed", alebo v prípade, že systém túto službu potrebuje, zablokovať akúkoľvek prichádzajúcu UDP komunikáciu na port 631 [1]. V prípade opráv operačných systémov by mala postačiť oprava zraniteľnosti CVE-2024-47176 pre zabránenie vykonávania príkazov v OS vzdialeným útočníkom, každopádne aj zvyšné zraniteľnosti predstavujú bezpečnostné riziko, preto silne odporúčame aktualizovať jednotlivé komponenty na verziu, kde budú opravené všetky zraniteľnosti, hneď ako to bude možné. Jednotlivé distribúcie a ich opravené verzie: Ubuntu [5][6][7][8]: noble: cups - 2.4.7-1.2ubuntu7.3, libppd - 2:2.0.0-0ubuntu4.1, libcupsfilters - 2.0.0-0ubuntu7.1, cups-browsed - 2.0.0-0ubuntu10.1 jammy: cups - 2.4.1op1-1ubuntu4.11, cups-filters - 1.28.15-0ubuntu1.3, focal: cups - 2.3.1-9ubunt:u1.9, cups-filters - 1.27.4-1ubuntu0.3 Debian [9][10][11][11]: bullseye (security): cups - 2.3.3op2-3+deb11u9, cups-filters - 1.28.7-1+deb11u3 bookworm (security): cups - 2.4.2-3+deb12u8, cups-filters - 1.28.17-3+deb12u1

CUPS - RCE (CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) CVSS 8.3 (High)

Neautentizovanému vzdialenému útočníkovi je reťazovým zneužitím 4 zraniteľností umožnené vykonávať ľubovolné príkazy v systéme postihnutého zariadenia s právami procesu CUPS [1][2]. Detaily k jednotlivým zraniteľnostiam je možné nájsť na [1]. K zraniteľnostiam boli zverejnené PoC [3][4]. Zneužitie zraniteľností vyžaduje interakciu obete, ktorá musí na server útočníka vydávajúceho sa za tlačiareň odoslať tlačovú úlohu [1][2].

Zraniteľnosť sa nachádza v produktoch:

  • cups-browsed vo verziách <=2.0.1
  • libcupsfilters vo verziách <=2.1b1
  • libppd vo verziách <=2.1b1
  • cups-filters vo verziách <=2.0.1

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 26. 9. 2024.


Publikoval Martin Krajči dňa 1. 10. 2024.

CESNET CERTS Logo