Diese Warnung richtet sich an Administrierende von Linux-(artigen) und macOS-Systemen, die CUPS installiert haben.
Ein Sicherheitsforscher hat mehrere Schwachstellen in der CUPS-Implementation entdeckt. Diese werden von Herstellern als schwerwiegend bis kritisch eingeschätzt. Die Schwachstelle ist derzeit noch nicht offiziell auf macOS veröffentlicht. Eine Veröffentlichung dazu ist aber angekündigt.
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in CUPS ausnutzen, um beliebigen Programmcode mit den Rechten des Dienstes auszuführen und um Informationen offenzulegen.
Heise schreibt dazu: Am Ende können nicht authentifizierte Angreifer aus dem Netz unbemerkt die IPP-URLs bestehender Drucker durch bösartige ersetzen oder neue installieren. Dies mündet demnach darin, dass beliebige Befehle ausgeführt werden, wenn ein Druckjob auf dem Computer gestartet wird.
Betroffene Systeme:
- GNU/Linux distributions
- some BSDs
- Oracle Solaris
- mutmaßlich macOS
- möglicherweise Google Chromium / ChromeOS
Admins genannter Systeme müssen agieren.
#Schwachstellen Zusammenfassung
CVE-2024-47176 | cups-browsed <= 2.0.1 binds on UDP INADDR_ANY:631 trusting any packet from any source to trigger a Get-Printer-Attributes IPP request to an attacker controlled URL.
CVE-2024-47076 | libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 does not validate or sanitize the IPP attributes returned from an IPP server, providing attacker controlled data to the rest of the CUPS system.
CVE-2024-47175 | libppd <= 2.1b1 ppdCreatePPDFromIPP2 does not validate or sanitize the IPP attributes when writing them to a temporary PPD file, allowing the injection of attacker controlled data in the resulting PPD.
CVE-2024-47177 | cups-filters <= 2.0.1 foomatic-rip allows arbitrary command execution via the FoomaticRIPCommandLine PPD parameter.
Was ist zu tun:
- Prüfen Sie ob Ihre Systeme von den genannten Schwachstellen betroffen sind
- Informieren Sie sich auf den offiziellen Webseiten Ihrer Betriebssysteme ob Updates zur Behebung veröffentlicht sind
- Hersteller-Updates für das CUPS-Package sollten schnellstmöglich installiert werden.
Falls dies nicht möglich ist, sollte:
- der cups-browsed Dienst deaktiviert und entfernt werden.
- UDP-Port 631 deaktiviert werden.
Ferner wird von der Nutzung von Zeroconf-/mDNS-/Bonjour-Implementierungen, wie z.B. avahi abgeraten.
Auf Linux-Systemen, die systemd verwenden, kann man mit folgenden Befehlen cups-browsed und avahi stoppen und aus dem Autostart entfernen:
sudo systemctl stop avahi-daemon.service avahi-daemon.socket avahi-dnsconfd.service cups-browsed.service
sudo systemctl disable avahi-daemon.service avahi-daemon.socket avahi-dnsconfd.service cups-browsed.service
Weitere Informationen:
wid.cert-bund.de/portal/wid/securityadvisory
www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
