RHSB-2024-002 - OpenPrinting cups-filters
更新
この情報は役に立ちましたか?
エグゼクティブサマリー
Red Hat は、OpenPrinting CUPS で見つかった一連の脆弱性を認識しています。この脆弱性が原因で Red Hat Enterprise Linux (RHEL) の全バージョンが影響を受けます。これらの問題は、重大度が「重要」と評価されています。RHEL に同梱されているサービスのデフォルト設定が影響を受けます。ただし、インストール時は、このサービスは無効な状態です。影響を受けるコンポーネントについては、脆弱なサービスが有効な状態で インストールされていません。
CUPS は、プリンターの管理、検出、および共有ツールを提供するオープンソースの印刷システムです。攻撃者がこれらの脆弱性を使用できると、権限のない 'lp' ユーザーとしてリモートコードが実行される可能性があります。
アップストリームおよび研究者との間で調整中ですが、現時点では 4 つの CVE が割り当てられており、この記事の執筆時点では、CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177 のパッチは提供されていません。
影響を受ける製品
CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、および CVE-2024-47177 の影響を受ける Red Hat 製品
|
Red Hat Enterprise Linux 9 |
影響あり: 修正はアクティブなストリームすべてに対して提供される予定です。 |
|
Red Hat Enterprise Linux 8 |
影響あり: 修正はアクティブなストリームすべてに対して提供される予定です。 |
|
Red Hat Enterprise Linux 7 |
影響あり: 修正はアクティブなストリームすべてに対して提供される予定です。 |
|
Red Hat Enterprise Linux 6 |
影響あり: サポート範囲外であるため、修正は提供されません。 |
影響を受ける全製品に対する更新
現在はありません。
技術的な詳細と背景
特定の条件が満たされていないと、これらの脆弱性は悪用できません。攻撃者は、被害者がアクセスできる悪意のある Internet Printing Protocol (IPP) サービスをアドバタイズする必要があります。アドバタイズは、パブリックインターネット上または内部の信頼できるネットワーク内で行うことができます。別のサーバーに常駐するか、ラップトップなど、悪意のあるシステムに常駐できるようにしてネットワークを侵害しない限り、内部の信頼できるネットワーク上でアドバタイズすることはできません。
攻撃を成功させるには、利用可能なプリンターをスキャンする cups-browsed サービスを実行している必要があります。 サービスを実行することで、攻撃者は悪意のある IPP サーバーから一時的なプリンター定義を自動的に追加できます。この時点で、悪意のある IPP サーバーは、プリンター定義の一部として任意のコードをユーザー (被害者) に送り返すことができ、トリガーされると、権限のない ‘lp’ ユーザーとして、そのコードが実行されます。悪意のあるデバイスから印刷を試みない限り、このコードは実行されません。
注記: このシナリオではリモートコードの実行が許可されますが、実行できるのは、'lp' ユーザーの権限範囲に限定されます。 'lp' ユーザーは、特権ユーザーとしてコードを実行したり、適切にセキュアなユーザーデータにアクセスしたりすることはできません。
CVE-2024-47176 cups-browsed
CVE-2024-47076 cups-filter libcupsfilters
CVE-2024-47175 libppd cups cups-filter
CVE-2024-47177 cups-filters foomatic
技術的な説明が更新されていますので、随時それぞれの CVE ページを参照してください。
検出
cups-browsed が実行されているかどうかを判断するには、次のコマンドを実行します。
$ sudo systemctl status cups-browsed
このコマンドの出力で cups-browsed サービスがインストールされていないか、非アクティブであることが示される場合、cups-browsed サービスは実行されておらず、悪意のある IPP サービスに誤って接続されることはありません。
systemctl がサービスが “running” または “enabled” であることを示す場合、/etc/cups/cups-browsed.conf を確認して、“BrowseRemoteProtocols” ディレクティブを検索します。 設定ファイル内でこのディレクティブの値として “cups” が含まれる場合、そのシステムは脆弱です。 以下に例を示します。
BrowseRemoteProtocols dnssd cups
軽減策
パッチが利用可能になるまで間、最も簡単な緩和策として、cups-browsed を無効してください。 無効にすると、プリンター クライアント が無効になるため、最も簡単な解決策です。また、既知のプリンターへの印刷機能には影響はありません。 無効にする方法は、複数あります。
cups-browsed を完全に無効にします。
$ sudo systemctl stop cups-browsed
$ sudo systemctl disable cups-browsed
cups-browsed を実行してクライアントシステムのプリンターを自動的に検出する場合は、この脆弱性を回避するために /etc/cups/cups-browsed.conf 設定ファイルに以下の変更を加えます。
BrowseRemoteProtocols dnssd cups
BrowseRemoteProtocols none
cups-browsed を再起動します。
$ sudo systemctl restart cups-browsed
謝辞
Red Hat は、これらの脆弱性を発見して報告してくださった Simone “EvilSocket” Margaritelli 氏と、追加の調整サポートをしてくださった Till Kamppeter (OpenPrinting) 氏に感謝の意を表します。
Comments