RCE sebezhetőség a CUPS-ban

Bug

"A remote unauthenticated attacker can silently replace existing printers’ (or install new ones) IPP urls with a malicious one, resulting in arbitrary command execution (on the computer) when a print job is started (from that computer)."

azaz:

Egy távoli, nem authentikált támadó feltűnés nélkül lecserélheti a meglévő nyomtatóink IPP url-jét egy preparált, rosszindulatú site-ra, vagy akár új (fake) nyomtatót is hozzáadhat a rendszerünkhöz. Ha erre nyomtatási fealdat is érkezik, a támadó kódot futtathat a gépünkön.

TL;DR:

  •     CVE-2024-47176 | cups-browsed <= 2.0.1 binds on UDP INADDR_ANY:631 trusting any packet from any source to trigger a Get-Printer-Attributes IPP request to an attacker controlled URL.
  •     CVE-2024-47076 | libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 does not validate or sanitize the IPP attributes returned from an IPP server, providing attacker controlled data to the rest of the CUPS system.
  •     CVE-2024-47175 | libppd <= 2.1b1 ppdCreatePPDFromIPP2 does not validate or sanitize the IPP attributes when writing them to a temporary PPD file, allowing the injection of attacker controlled data in the resulting PPD.
  •     CVE-2024-47177 | cups-filters <= 2.0.1 foomatic-rip allows arbitrary command execution via the FoomaticRIPCommandLine PPD parameter.

Az eredeti cikk, a bejelentő blogján.

( joco01 v | 2024. 09. 29., v – 12:35 )

Röhej és szánalom, hogy a hacker meg a fejlesztők mit drámáztak...

( XMI | 2024. 10. 01., k – 01:41 )

Belegondolok, hogy régen mennyire más világ volt, amikor ezeket a zeroconf mechanizmusokat senki sem érezte security szempontból problémásnak.

Gondolom a cups fejlesztők még mindig ebben a mentalitásban élnek és ezért kötötték az ebet a karóhoz. De sajnos már nem tudom elolvasni, mert - hogy hogynem - leszedték a discussion-t az összes bug reportról, az archive.org pedig nem mentette le a korábbi állapotot.

Ami viszont különösen para, az ez a rész: "By the way, CERT’s VINCE either has a backdoor, or an inside leak, or has zero vetting on who they add to a disclosure, because there’s been a leak of the exact markdown report that I only shared there, including the exploit."

Régóta vágyok én, az androidok mezonkincsére már!