2024年9月27日,安全研究员 Simone "evilsocket" Margaritelli 在其个人博客上通报 unix 基础打印框架 CUPS 存在多个高危安全漏洞[1]。未经身份验证的远程攻击者可以伪装成打印机,使用恶意的 IPP URL 替换现有打印机的 URL,或添加新的恶意打印机。在这种情况下,当用户从受影响的计算机发起打印任务时,攻击者可通过伪造的打印机 URL 在该计算机上静默执行任意命令,从而实现攻击。

这些漏洞被上游软件维护者和安全人员确认并临时采取禁用相关功能以规避风险,目前尚无功能性修复方案提供。

漏洞编号:CVE-2024-47176、CVE-2024-47076、CVE-2024-47175 、CVE-2024-47177 。[2][3][4]

 

我受到影响吗

1、如果您未安装过 cups-browsed (该包不在 deepin 23 中预装),则您不受该漏洞影响;

2、如果您完全不进行打印操作,则您不会触发这个漏洞;

3、如果您安装了 cups-browsed 且进行打印操作,您可能受该漏洞影响。

 

临时防范措施

1、如您不需要 cups-browsed 服务,停止或卸载 cups-browsed 服务可以缓解攻击者通过网络进行攻击:

a. sudo systemctl disable --now cups-browsed

b. sudo apt remove cups-browsed

 

2、如您需要 cups-browsed 服务,您可以:

a. 启用防火墙,阻止 UDP 631 端口流量以防止攻击

b. 编辑 /etc/cups/cups-browsed.conf,搜索 BrowseRemoteProtocols 字段,删除 cups并执行 sudo systemctl restart cups-browsed 重启 cups-browsed

 

deepin 23 修补

deepin 23 已在2024年9月27日对 cups-browsed 与 cups-filters 进行了修补。我们强烈建议所有用户立刻进行更新以修补该安全漏洞。修补版本为:1.28.17-3.1~deepin3 。

 

事件时间线

  • 2024年9月27日凌晨04:00 漏洞披露
  • 2024年9月27日上午09:00 deepin监测到该漏洞信息
  • 2024年9月27日上午11:44 进行漏洞修补并集成
  • 2024年9月27日下午14:18 集成测试通过
  • 2024年9月27日下午15:42 仓库推送漏洞修复

(以上时间均为北京时间)

 

参考资料:

[1] 博客地址:https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

[2] 阿里云通报:https://avd.aliyun.com/detail?id=AVD-2024-47176

[3] JFrog 通报:https://jfrog.com/blog/cups-attack-zero-day-vulnerability-all-you-need-to-know/

[4] oss-security 通报:https://www.openwall.com/lists/oss-security/2024/09/26/5

 

相关阅读:

(3)deepin 法国站点正式上线

 

内容来源:deepin(深度)社区

转载请注明出处

发表评论