RHSB-2024-002 - OpenPrinting cups-filters
Mis à jour
Est-ce que cette infomation vous a été utile ?
Récapitulatif
Red Hat a connaissance d'un groupe de vulnérabilités identifiées dans OpenPrinting CUPS qui affectent toutes les versions de Red Hat Enterprise Linux (RHEL). Ces problèmes sont évalués avec un impact de gravité « Important ». Comme elle se présente dans RHEL, la configuration par défaut du service est vulnérable. Cependant, ce service est installé dans un état désactivé. Les composants concernés ne sont pas installés avec le service vulnérable activé.
CUPS est un système d'impression open source qui fournit des outils pour gérer, découvrir et partager des imprimantes. Ensemble, si un attaquant était en mesure d’exploiter ces vulnérabilités, cela pourrait potentiellement conduire à l’exécution de code à distance en tant qu’utilisateur « lp » non privilégié.
Bien que la coordination en amont et la recherche soit en cours, à l'heure actuelle, quatre CVE ont été attribués et au moment de la rédaction de cet article, aucun correctif n'est disponible : CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177.
Produits concernés
Produits Red Hat concernés par CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177 :
|
Red Hat Enterprise Linux 9 |
Affecté - Les correctifs seront disponibles pour tous les flux actifs. |
|
Red Hat Enterprise Linux 8 |
Affecté - Les correctifs seront disponibles pour tous les flux actifs. |
|
Red Hat Enterprise Linux 7 |
Affecté - Les correctifs seront disponibles pour tous les flux actifs. |
|
Red Hat Enterprise Linux 6 |
Affecté - Ne sera pas corrigé, hors de portée du support |
Mises à jour pour tous les produits concernés
Aucune actuellement.
Détails techniques et contexte
Les circonstances requises pour exploiter avec succès ces vulnérabilités nécessitent que certaines conditions soient réunies. Un attaquant doit annoncer un service IPP (Internet Printing Protocol) malveillant accessible par une victime. Cela peut se faire sur l’Internet public ou au sein d’un réseau interne de confiance. S’afficher sur un réseau interne de confiance nécessiterait une violation réussie du réseau, en résidant sur un autre serveur ou en ayant la possibilité de résider sur un système malveillant, comme un ordinateur portable.
Pour que l'attaque soit réussie, la victime doit avoir le service cups-browsed en cours d'exécution, qui recherche les imprimantes disponibles. Cela permet à un attaquant d’ajouter automatiquement une définition d’imprimante temporaire à partir d’un serveur IPP malveillant. À ce stade, le serveur IPP malveillant peut renvoyer du code arbitraire à la victime dans le cadre de la définition de l'imprimante qui, une fois déclenchée, s'exécutera en tant qu'utilisateur « lp » non privilégié. La victime doit tenter d’imprimer à partir du périphérique malveillant pour exécuter le code fourni.
Remarque : bien que cela permette l'exécution de code à distance dans ce scénario, elle est limitée par les privilèges de l'utilisateur « lp ». L'utilisateur « lp » ne peut pas exécuter de code en tant qu'utilisateur privilégié ni accéder à des données utilisateur correctement sécurisées.
CVE-2024-47176 cups-browsed
CVE-2024-47076 cups-filter libcupsfilters
CVE-2024-47175 libppd cups cups-filter
CVE-2024-47177 cups-filters foomatic
Consultez ces pages CVE au fur et à mesure que les descriptions techniques sont mises à jour
Detection
Pour déterminer si cups-browsed est en cours d'exécution ou non :
$ sudo systemctl status cups-browsed
Si la sortie de cette commande indique que le service cups-browsed n'est pas installé ou qu'il est inactif, le service cups-browsed n'est pas en cours d'exécution et ne peut pas être amené à se connecter à un service IPP malveillant.
Si systemctl indique que le service est « en cours d'exécution » ou « activé », examinez /etc/cups/cups-browsed.conf et recherchez la directive « BrowseRemoteProtocols ». Si cette directive a la valeur « cups » dans le fichier de configuration, le système est vulnérable. Par exemple :
BrowseRemoteProtocols dnssd cups
Mitigation
La mesure d'atténuation la plus simple jusqu'à ce que les correctifs soient disponibles est de désactiver cups-browsed. Étant donné que cela a un impact sur les clients au niveau des imprimantes, il s’agit de la solution la plus simple et n’a pas d’impact sur la possibilité d’imprimer sur des imprimantes déjà connues. Cela peut être fait de plusieurs manières.
Désactiver complètement cups-browsed :
$ sudo systemctl stop cups-browsed
$ sudo systemctl disable cups-browsed
Si vous préférez que cups-browsed reste en cours d'exécution pour détecter automatiquement les imprimantes sur votre système client, vous pouvez éviter la vulnérabilité en apportant les modifications suivantes au fichier de configuration /etc/cups/cups-browsed.conf :
BrowseRemoteProtocols dnssd cups
BrowseRemoteProtocols none
Et en redémarrant cups-browsed :
$ sudo systemctl restart cups-browsed
Remerciements
Red Hat souhaite remercier Simone « EvilSocket » de Margaritelli pour avoir découvert et signalé ces vulnérabilités et Till Kamppeter (OpenPrinting) pour son soutien supplémentaire en matière de coordination.
Comments