image

CUPS-kwetsbaarheden maken remote code execution mogelijk

vrijdag 27 september 2024, 11:04 door Redactie, 8 reacties

Verschillende kwetsbaarheden in CUPS maken het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op Linux-systemen uit te voeren. Voor verschillende Linux-distributies zijn updates uitgebracht. Misbruik is alleen onder bepaalde voorwaarden mogelijk. CUPS is een printsysteem voor Linux-systemen en zorgt ervoor dat een systeem als printserver kan fungeren. Het onderdeel cups-browsed bevat functionaliteit om via het netwerk te printen. CUPS gebruikt IPP (Internet Printing Protocol) om zowel lokaal als via het netwerk te printen.

Vier kwetsbaarheden in CUPS (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 en CVE-2024-47177) maken het gecombineerd mogelijk om malafide code uit te voeren. Een aanvaller kan via het beveiligingslek een malafide printer aan een kwetsbaar systeem toevoegen. Als een gebruiker vervolgens een printjob via deze printer uitvoert kan de aanvaller malafide commando's op de server uitvoeren.

De aanval is alleen mogelijk als de cups-browsed service handmatig is ingeschakeld of gestart. De aanvaller toegang tot een kwetsbare server heeft en het slachtoffer via de toegevoegde malafide printer print, aldus Red Hat. De Linux-distributie stelt dat Red Hat standaard niet kwetsbaar is en heeft de impact van de kwetsbaarheden als 'important' bestempeld. De CVSS-impactscores van de vier kwetsbaarheden variëren van 8.4 tot en met 9.1.

"CUPS, of specifieker cups-browsed, is over het algemeen op desktopcomputers en als printserver geconfigureerde servers geïnstalleerd. De exploitketen werkt alleen als er een printjob wordt verstuurd. Als je nooit print kan er geen command execution plaatsvinden, zelfs als de kwetsbare packages geïnstalleerd zijn en een aanvaller de exploit probeert uit te voeren", aldus Ubuntu dat gebruikers oproept de updates te installeren.

Reacties (8)
27-09-2024, 11:30 door Anoniem
Gisteren is CVE-2024-47076 gerepareerd met een patch in Ubuntu 24.04 LTS.

De complete lijst met distro-versies en met CUPS problemen staat hieronder:
https://ubuntu.com/security/notices
27-09-2024, 12:53 door Anoniem
Wel heel veel hype voor een als,als,als, scenario.
27-09-2024, 14:18 door Anoniem
Door Anoniem: Wel heel veel hype voor een als,als,als, scenario.
Dat komt omdat belangrijke problemen in UNIX systemen niet zo vaak voorkomen dan denkt men al snel dat het heel wat is.
Ik ben blij met de Apple Cups fork van https://openprinting.github.io/cups/
Ik denk niet dat er veel mensen zijn die browsen van alle netwerkprinters hebben aangezet, laat staan wijd open.
Belangrijk maar storm in glas water.
28-09-2024, 08:51 door Johneeltje
Was al vlug opgelost met update.
29-09-2024, 13:41 door Xavier Ohole
Ni
Door Johneeltje: Was al vlug opgelost met update.

Niet een maandje hoeven wachten tot de 'patchdinsdag'? ;-)
29-09-2024, 19:25 door Anoniem
Door Johneeltje: Was al vlug opgelost met update.
Ja, want de fout in CUPS was slechts één dag oud!
30-09-2024, 08:18 door Anoniem
Door Anoniem: Wel heel veel hype voor een als,als,als, scenario.
Dat was ook mijn idee ervan.
Sowieso op servers standaard geen cups draaien want waarom zou je.
Ik had wel verwacht dat apple al aan de slag was gegaan inmiddels.
30-09-2024, 10:12 door Anoniem
Door Anoniem:
Door Johneeltje: Was al vlug opgelost met update.
Ja, want de fout in CUPS was slechts één dag oud!
Door Anoniem:
Door Johneeltje: Was al vlug opgelost met update.
Ja, want de fout in CUPS was slechts één dag oud!
De andere kant van de medaille is dat de auteur al twee maanden met een kluitje het riet werd ingestuurd door de developers met de melding "je zeurt, je hebt er geen verstand van, ga weg, vervelende vlieg". Pas toen hij, ondanks alle verwoede pogingen voor een responsible disclosure, dreigde met full disclosure en gebelgd herrie begon te maken gebeurde er wat. Dus om nou te zeggen dat het lek één dag oud was is een tikkeltje bezijden de waarheid.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.