RHSB-2024-002 - Open Cryostating cups-filters
갱신됨
이 정보가 도움이 되었나요?
요약
Red Hat은 모든 RHEL(Red Hat Enterprise Linux) 버전에 영향을 미치는 Open Cryostating CUPS에서 확인된 일련의 보안 취약점을 인지하고 있습니다. 이러한 문제는 중요 (Important) 보안 영향을 미치는 것으로 평가됩니다. RHEL에 제공된 관련 서비스의 기본 구성에는 보안 취약점이 있습니다. 그러나 이 서비스는 비활성화된 상태로 설치됩니다. 영향을 받는 구성 요소 는 취약한 서비스가 활성화된 상태로 가 설치되지 않습니다.
CUPS는 프린터를 관리, 검색, 공유하는 툴을 제공하는 오픈 소스 인쇄 시스템입니다. 공격자가 이러한 취약점을 악용할 수 있는 경우 권한이 없는 'lp' 사용자로 원격 코드가 실행될 수 있습니다.
현재 CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 및 CVE-2024-47177로 4개의 CVE가 할당되었으며 이에 대응하는 패치는 없습니다. 이는 업스트림 및 연구원과의 조정이 진행됨에 따라 변경될 수 있습니다.
영향을 받는 제품
CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177의 영향을 받는 Red Hat 제품:
|
Red Hat Enterprise Linux 9 |
영향을 받음 - 모든 활성 스트림에 수정 사항이 제공됩니다. |
|
Red Hat Enterprise Linux 8 |
영향을 받음 - 모든 활성 스트림에 수정 사항이 제공됩니다. |
|
Red Hat Enterprise Linux 7 |
영향을 받음 - 모든 활성 스트림에 수정 사항이 제공됩니다. |
|
Red Hat Enterprise Linux 6 |
영향을 받음 - 지원 범위를 벗어나서 수정 사항이 제공되지 않음 |
영향을 받는 모든 제품의 업데이트
현재 없음.
기술적 세부 사항 및 배경 정보
이러한 취약점을 악용하려면 특정 조건이 충족되어야 합니다. 공격자는 피해자가 액세스할 수 있는 악의적인 IPP(Internet Printing Protocol) 서비스를 광고할 수 있어야 합니다. 이는 공용 인터넷 또는 신뢰할 수 있는 내부 네트워크 내에 있을 수 있습니다. 신뢰할 수 있는 내부 네트워크에서 알림을 보내려면 다른 서버에 상주하거나 노트북과 같은 악성 시스템에 상주할 수 있는 기능을 보유하여 네트워크를 성공적으로 침해해야 합니다.
성공적으로 공격하려면 사용 가능한 프린터를 스캔하는 cups-browsed 서비스가 실행되고 있어야 합니다. 이를 통해 공격자는 악의적인 IPP 서버에서 임시 프린터 정의를 자동으로 추가할 수 있습니다. 이 시점에서 악의적인 IPP 서버는 프린터 정의의 일부로 피해자에게 임의 코드를 다시 보낼 수 있으며, 이 코드는 트리거되면 권한이 없는 'lp' 사용자로 실행됩니다. 공격자가 보낸 코드는 피해자가 악성 장치에서 인쇄를 시도할 때만 실행됩니다.
참고: 이 경우 원격 코드 실행이 허용되지만 이는 'lp' 사용자의 권한에 따라 제한됩니다. 'lp' 사용자는 권한을 가진 사용자로 코드를 실행할 수 없으며 적절하게 보안된 사용자 데이터에 액세스할 수 없습니다.
CVE-2024-47176 cups-browsed
CVE-2024-47076 cups-filter libcupsfilters
CVE-2024-47175 libppd cups-filter
CVE-2024-47177 cups-filters foomatic
적절한 업데이트 정보는 각 CVE 페이지에서 참조하십시오.
감지 방법
cups-browsed가 실행 중인지 확인하려면 다음을 수행합니다.
$ sudo systemctl status cups-browsed
이 명령의 출력에 cups-browsed 서비스가 설치되지 않았거나 비활성 상태임을 나타내는 경우 cups-browsed 서비스가 실행되지 않으며 악의적인 IPP 서비스에 연결하도록 시스템을 속일 수 없습니다.
systemctl이 서비스가 "실행 중(running)" 또는 "활성화(enabled)"임을 나타내는 경우 /etc/cups/cups-browsed.conf를 검사하고 "BrowseRemoteProtocols" 지시문을 검색합니다. 구성 파일에서 이 지시문에 "cups" 값이 있으면 시스템이 보안 취약점의 영향을 받는 다는 의미입니다. 예를 들면 다음과 같습니다.
BrowseRemoteProtocols dnssd cups
완화 방법
패치를 사용할 수 있을 때까지 가장 간단한 완화 방법은 cups-browsed를 비활성화하는 것입니다. 이는 프린터 클라이언트에만 영향을 미치므로 가장 쉬운 솔루션이며 이미 알려진 프린터의 인쇄하는 기능에는 영향을 미치지 않습니다. 이는 몇 가지 방법으로 비활성화할 수 있습니다.
cups-browsed를 완전히 비활성화합니다.
$ sudo systemctl stop cups-browsed
$ sudo systemctl disable cups-browsed
cups-browsed 를 실행하여 클라이언트 시스템에서 프린터를 자동으로 검색하도록 하려면 /etc/cups/cups-browsed.conf 구성 파일을 다음과 같이 변경하여 취약점을 방지할 수 있습니다.
BrowseRemoteProtocols dnssd cups
BrowseRemoteProtocols none
cups-browsed를 다시 시작합니다.
$ sudo systemctl restart cups-browsed
감사 인사
Red Hat은 이러한 취약점을 발견하고 보고해 주신 Simone “EvilSocket” Margaritelli와 추가적인 조정 지원을 해 주신 Till Kamppeter(OpenPrinting)에게 감사드립니다.
Comments