bonjour,
j'ai appris ce bug sur Endeavour,
https://forum.endeavouros.com/t/cups-is ... 2024/60966
sur Endeavour le paquet et le service ne sont pas activés par défaut, par contre ce qui m'inquiète c'est que sur Linuxmint il l'est.
Sauriez-vous si le paquet Mint a été corrigé ?
merci pour vos infos.
Edit : apparemment le pb est corrigé dans une version cups-browsed 2.0.1-2
Faille dans le paquet service cups-browsed
Faille dans le paquet service cups-browsed
System:
Host: falke-MacBookAir Kernel: 6.8.0-45-generic x86_64 bits: 64
Desktop: Distro: Linux Mint 22 Wilma base: Ubuntu 24.04 noble
Machine:
Type: Laptop System: Apple product: MacBookAir7,2 v: 1.0
Autre Distro : Debian Sid et Endeavour en triple boot sur Btrfs. Noyau change tout le temps ..
Host: falke-MacBookAir Kernel: 6.8.0-45-generic x86_64 bits: 64
Desktop: Distro: Linux Mint 22 Wilma base: Ubuntu 24.04 noble
Machine:
Type: Laptop System: Apple product: MacBookAir7,2 v: 1.0
Autre Distro : Debian Sid et Endeavour en triple boot sur Btrfs. Noyau change tout le temps ..
Re: Faille dans le paquet service cups-browsed
Merci pour l'info 
Code : Tout sélectionner
armaggion@fractal:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Linuxmint
Description: Linux Mint 22
Release: 22
Codename: wilma
armaggion@fractal:~$ dpkg -l cups-browsed
Souhait=inconnU/Installé/suppRimé/Purgé/H=à garder
| État=Non/Installé/fichier-Config/dépaqUeté/échec-conFig/H=semi-installé/W=attend-traitement-déclenchements
|/ Err?=(aucune)/besoin Réinstallation (État,Err: majuscule=mauvais)
||/ Nom Version Architecture Description
+++-==============-=================-============-=================================
ii cups-browsed 2.0.0-0ubuntu10.1 amd64 OpenPrinting cups-browsed[/code}PC : Desktop | Linux Mint 22.1 Xia | Cinnamon 6.4.8 | 6.8.0-63-generic | Intel Core i5-13400F | 32GB | NVIDIA AD106 [GeForce RTX 4060 Ti] / 575.64.03
Re: Faille dans le paquet service cups-browsed
c'est arrivé sur ubuntu,
https://ubuntu.com/blog/cups-remote-cod ... -available
C'est arrivé sur Mint dans ma maj du 27/09 passé inaperçu, désolé
résolu sur bookworm et Bullseyes en appliquant les maj de sécurité
https://security-tracker.debian.org/tra ... 2024-47076
https://ubuntu.com/blog/cups-remote-cod ... -available
C'est arrivé sur Mint dans ma maj du 27/09 passé inaperçu, désolé
résolu sur bookworm et Bullseyes en appliquant les maj de sécurité
https://security-tracker.debian.org/tra ... 2024-47076
System:
Host: falke-MacBookAir Kernel: 6.8.0-45-generic x86_64 bits: 64
Desktop: Distro: Linux Mint 22 Wilma base: Ubuntu 24.04 noble
Machine:
Type: Laptop System: Apple product: MacBookAir7,2 v: 1.0
Autre Distro : Debian Sid et Endeavour en triple boot sur Btrfs. Noyau change tout le temps ..
Host: falke-MacBookAir Kernel: 6.8.0-45-generic x86_64 bits: 64
Desktop: Distro: Linux Mint 22 Wilma base: Ubuntu 24.04 noble
Machine:
Type: Laptop System: Apple product: MacBookAir7,2 v: 1.0
Autre Distro : Debian Sid et Endeavour en triple boot sur Btrfs. Noyau change tout le temps ..
Re: Faille dans le paquet service cups-browsed
Bonjour, le message sera un peu long, mais traduit d’une page (https://ubuntu.com/blog/cups-remote-cod ... -available)
Correctif de vulnérabilité d’exécution de code à distance CUPS disponible
Quatre identifiants CVE ont été attribués et forment ensemble une chaîne d’exploitation à fort impact autour de CUPS : CVE-2024-47076 , CVE-2024-47175 , CVE-2024-47176 et CVE-2024-47177 .
L’équipe de sécurité de Canonical a publié des mises à jour pour les packages cups-browsed, cups-filters, libcupsfilters et libppd pour toutes les versions d’Ubuntu LTS sous support standard. Les mises à jour corrigent CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, tandis que CVE-2024-47177 est corrigé par les 3 autres vulnérabilités en cours de correction. Des informations sur les versions concernées peuvent être trouvées dans les pages CVE liées ci-dessus. Si l’un de ces éléments est installé, notre recommandation est de le mettre à jour dès que possible. Lisez la suite pour en savoir plus sur les détails. Des mises à jour de sécurité pour les versions ESM seront publiées prochainement.
Comment fonctionne la chaîne d’exploit
À la base, la vulnérabilité est exploitée en incitant CUPS à générer un fichier PPD (PostScript Printer Description) contrôlé par un attaquant pour une imprimante contenant une commande arbitraire. Chaque fois que le prochain travail d’impression est envoyé à l’imprimante en question, la commande sera exécutée en tant qu’utilisateur lp (il s’agit de l’utilisateur sous lequel le démon CUPS s’exécute et, sauf autres vulnérabilités exploitables, n’aurait pas de privilèges élevés).
La génération du fichier PPD manipulé en premier lieu peut être réalisée de deux manières :
Sur le réseau local, mDNS peut être utilisé pour enregistrer automatiquement une nouvelle imprimante ou pour remplacer le fichier PPD associé à une imprimante existante. Cela nécessite que l'attaquant soit capable de générer les datagrammes de multidiffusion et de les faire atteindre le démon parcouru par cups (port 631). Le trafic multicast n’étant pas transmis sur Internet, le vecteur d’attaque est ici réduit, mais néanmoins considérable.
Sur n'importe quel réseau, y compris Internet, un ancien protocole basé sur UDP peut être utilisé pour enregistrer une nouvelle imprimante avec un fichier PPD malveillant. Cela nécessite que l'attaquant soit capable d'envoyer un datagramme UDP au port 631, géré par cups-browsed, sur l'hôte cible. Un pare-feu (ou un routeur NAT) peut empêcher ce vecteur d'attaque.
Qui est concerné
CUPS ou, plus précisément, cups-browsed est généralement installé sur les ordinateurs de bureau et les serveurs configurés comme serveurs d’impression. La chaîne d’exploit n’est terminée que si une tâche d’impression est envoyée. Ainsi, si vous n’imprimez jamais, aucune exécution de commande n’aurait pu avoir lieu, même si les packages vulnérables avaient été installés et qu’un acteur malveillant avait tenté l’exploit.
Nous recommandons à toute personne disposant des packages concernés d’appliquer la mise à jour de sécurité dès que possible. Les serveurs dépourvus de règles de pare-feu appropriées et les ordinateurs portables susceptibles de se connecter à des réseaux non fiables sont particulièrement exposés.
Comment s’adresser
Nous vous recommandons de mettre à niveau tous les packages, suivi d’un redémarrage du démon CUPS :
sudo apt update && sudo apt upgrade
sudo systemctl restart cups.service
Si cela n’est pas possible, les composants concernés peuvent être ciblés :
sudo apt update && sudo apt install --only-upgrade cups-browsed cups-filters cups-filters-core-drivers libcupsfilters2t64 libppd2 libppd-utils ppdc
sudo systemctl restart cups
La fonctionnalité de mise à niveau sans surveillance est activée par défaut à partir d’Ubuntu 16.04 LTS et versions ultérieures. Cette prestation :
Applique automatiquement de nouvelles mises à jour de sécurité toutes les 24 heures
Si cette option est activée, les correctifs ci-dessus seront automatiquement appliqués dans les 24 heures
Cependant, nous recommandons toujours de redémarrer le démon CUPS à l'aide de systemctl restart cups.service
Atténuation
La protection la plus efficace consiste à appliquer les mises à jour de sécurité. Les mesures d’atténuation suivantes ont été étudiées, mais elles présentent des limites et peuvent provoquer des effets secondaires involontaires.
Pour les ordinateurs de bureau, la suppression du composant cups-browsed ou la désactivation des protocoles réseau affecteraient la capacité de détection des imprimantes réseau.
Pour les serveurs d’impression, la désactivation de la détection des imprimantes réseau peut être considérée comme une atténuation adéquate, car les imprimantes déjà configurées continueraient d’être disponibles, mais, sur les systèmes Ubuntu, la modification du fichier de configuration associé empêcherait les futures mises à niveau sans surveillance de se terminer correctement. Pour cette raison, nous ne recommandons pas cette approche. Si les mises à jour de sécurité ne peuvent pas être appliquées, vous ne devez suivre les étapes suivantes qu’en dernier recours et restaurer le fichier de configuration d’origine une fois les mises à jour appliquées.
Les étapes d’atténuation suivantes suppriment la capacité d’un serveur d’impression à détecter de nouvelles imprimantes réseau et à arrêter l’injection du fichier PPD malveillant :
Modifier /etc/cups/cups-browsed.conf
Recherchez l’option de configuration BrowseRemoteProtocols
Définissez l’option sur aucun (la valeur par défaut est « dnssd cups »)
Redémarrez les tasses parcourues à l'aide de systemctl redémarrez les tasses parcourues
L’importance d’une divulgation coordonnée
Ces questions ont reçu beaucoup d’attention avant leur divulgation publique. Les vulnérabilités sont normalement discutées entre le journaliste, les projets concernés et les distributions Linux, telles qu’Ubuntu, sous embargo, afin que les mises à jour de sécurité puissent être préparées et publiées simultanément dans le cadre d’une divulgation coordonnée par tous les éditeurs de logiciels. Parfois, des informations peuvent fuir, ce qui peut mettre les utilisateurs en danger.
Nous encourageons chacun à considérer le bien commun. Dans ce cas, la date de divulgation coordonnée a dû être avancée, afin d’équilibrer la nécessité d’une préparation adéquate et de fournir des mises à jour dans les plus brefs délais. Cela a affecté notre projet de publier simultanément des mises à jour de sécurité pour toutes les versions d’Ubuntu, y compris ESM.
Lors de réponses coordonnées aux vulnérabilités, Canonical recommande que les problèmes sous embargo soient traités discrètement. Si des désaccords surviennent lors de la divulgation, des coordinateurs tiers, tels que le VINCE d’un CERT/CC, peuvent intervenir pour arbitrer la discussion.
Références
https://www.evilsocket.net/2024/09/26/A ... PS-Part-I/
https://github.com/OpenPrinting/libcups ... -6g73-wmg5
https://github.com/OpenPrinting/libppd/ ... -47qg-grp6
https://github.com/OpenPrinting/cups-br ... -6mr5-rcw8
https://github.com/OpenPrinting/cups-fi ... -jxmq-gq47
https://ubuntu.com/security/CVE-2024-47076
https://ubuntu.com/security/CVE-2024-47175
https://ubuntu.com/security/CVE-2024-47176
https://ubuntu.com/security/CVE-2024-47177
https://ubuntu.com/security/notices/USN-7041-1
https://ubuntu.com/security/notices/USN-7042-1
https://ubuntu.com/security/notices/USN-7043-1
https://ubuntu.com/security/notices/USN-7044-1
https://ubuntu.com/security/notices/USN-7045-1
https://www.cve.org/CVERecord?id=CVE-2024-47076
https://www.cve.org/CVERecord?id=CVE-2024-47175
https://www.cve.org/CVERecord?id=CVE-2024-47176
https://www.cve.org/CVERecord?id=CVE-2024-47177
Correctif de vulnérabilité d’exécution de code à distance CUPS disponible
Quatre identifiants CVE ont été attribués et forment ensemble une chaîne d’exploitation à fort impact autour de CUPS : CVE-2024-47076 , CVE-2024-47175 , CVE-2024-47176 et CVE-2024-47177 .
L’équipe de sécurité de Canonical a publié des mises à jour pour les packages cups-browsed, cups-filters, libcupsfilters et libppd pour toutes les versions d’Ubuntu LTS sous support standard. Les mises à jour corrigent CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, tandis que CVE-2024-47177 est corrigé par les 3 autres vulnérabilités en cours de correction. Des informations sur les versions concernées peuvent être trouvées dans les pages CVE liées ci-dessus. Si l’un de ces éléments est installé, notre recommandation est de le mettre à jour dès que possible. Lisez la suite pour en savoir plus sur les détails. Des mises à jour de sécurité pour les versions ESM seront publiées prochainement.
Comment fonctionne la chaîne d’exploit
À la base, la vulnérabilité est exploitée en incitant CUPS à générer un fichier PPD (PostScript Printer Description) contrôlé par un attaquant pour une imprimante contenant une commande arbitraire. Chaque fois que le prochain travail d’impression est envoyé à l’imprimante en question, la commande sera exécutée en tant qu’utilisateur lp (il s’agit de l’utilisateur sous lequel le démon CUPS s’exécute et, sauf autres vulnérabilités exploitables, n’aurait pas de privilèges élevés).
La génération du fichier PPD manipulé en premier lieu peut être réalisée de deux manières :
Sur le réseau local, mDNS peut être utilisé pour enregistrer automatiquement une nouvelle imprimante ou pour remplacer le fichier PPD associé à une imprimante existante. Cela nécessite que l'attaquant soit capable de générer les datagrammes de multidiffusion et de les faire atteindre le démon parcouru par cups (port 631). Le trafic multicast n’étant pas transmis sur Internet, le vecteur d’attaque est ici réduit, mais néanmoins considérable.
Sur n'importe quel réseau, y compris Internet, un ancien protocole basé sur UDP peut être utilisé pour enregistrer une nouvelle imprimante avec un fichier PPD malveillant. Cela nécessite que l'attaquant soit capable d'envoyer un datagramme UDP au port 631, géré par cups-browsed, sur l'hôte cible. Un pare-feu (ou un routeur NAT) peut empêcher ce vecteur d'attaque.
Qui est concerné
CUPS ou, plus précisément, cups-browsed est généralement installé sur les ordinateurs de bureau et les serveurs configurés comme serveurs d’impression. La chaîne d’exploit n’est terminée que si une tâche d’impression est envoyée. Ainsi, si vous n’imprimez jamais, aucune exécution de commande n’aurait pu avoir lieu, même si les packages vulnérables avaient été installés et qu’un acteur malveillant avait tenté l’exploit.
Nous recommandons à toute personne disposant des packages concernés d’appliquer la mise à jour de sécurité dès que possible. Les serveurs dépourvus de règles de pare-feu appropriées et les ordinateurs portables susceptibles de se connecter à des réseaux non fiables sont particulièrement exposés.
Comment s’adresser
Nous vous recommandons de mettre à niveau tous les packages, suivi d’un redémarrage du démon CUPS :
sudo apt update && sudo apt upgrade
sudo systemctl restart cups.service
Si cela n’est pas possible, les composants concernés peuvent être ciblés :
sudo apt update && sudo apt install --only-upgrade cups-browsed cups-filters cups-filters-core-drivers libcupsfilters2t64 libppd2 libppd-utils ppdc
sudo systemctl restart cups
La fonctionnalité de mise à niveau sans surveillance est activée par défaut à partir d’Ubuntu 16.04 LTS et versions ultérieures. Cette prestation :
Applique automatiquement de nouvelles mises à jour de sécurité toutes les 24 heures
Si cette option est activée, les correctifs ci-dessus seront automatiquement appliqués dans les 24 heures
Cependant, nous recommandons toujours de redémarrer le démon CUPS à l'aide de systemctl restart cups.service
Atténuation
La protection la plus efficace consiste à appliquer les mises à jour de sécurité. Les mesures d’atténuation suivantes ont été étudiées, mais elles présentent des limites et peuvent provoquer des effets secondaires involontaires.
Pour les ordinateurs de bureau, la suppression du composant cups-browsed ou la désactivation des protocoles réseau affecteraient la capacité de détection des imprimantes réseau.
Pour les serveurs d’impression, la désactivation de la détection des imprimantes réseau peut être considérée comme une atténuation adéquate, car les imprimantes déjà configurées continueraient d’être disponibles, mais, sur les systèmes Ubuntu, la modification du fichier de configuration associé empêcherait les futures mises à niveau sans surveillance de se terminer correctement. Pour cette raison, nous ne recommandons pas cette approche. Si les mises à jour de sécurité ne peuvent pas être appliquées, vous ne devez suivre les étapes suivantes qu’en dernier recours et restaurer le fichier de configuration d’origine une fois les mises à jour appliquées.
Les étapes d’atténuation suivantes suppriment la capacité d’un serveur d’impression à détecter de nouvelles imprimantes réseau et à arrêter l’injection du fichier PPD malveillant :
Modifier /etc/cups/cups-browsed.conf
Recherchez l’option de configuration BrowseRemoteProtocols
Définissez l’option sur aucun (la valeur par défaut est « dnssd cups »)
Redémarrez les tasses parcourues à l'aide de systemctl redémarrez les tasses parcourues
L’importance d’une divulgation coordonnée
Ces questions ont reçu beaucoup d’attention avant leur divulgation publique. Les vulnérabilités sont normalement discutées entre le journaliste, les projets concernés et les distributions Linux, telles qu’Ubuntu, sous embargo, afin que les mises à jour de sécurité puissent être préparées et publiées simultanément dans le cadre d’une divulgation coordonnée par tous les éditeurs de logiciels. Parfois, des informations peuvent fuir, ce qui peut mettre les utilisateurs en danger.
Nous encourageons chacun à considérer le bien commun. Dans ce cas, la date de divulgation coordonnée a dû être avancée, afin d’équilibrer la nécessité d’une préparation adéquate et de fournir des mises à jour dans les plus brefs délais. Cela a affecté notre projet de publier simultanément des mises à jour de sécurité pour toutes les versions d’Ubuntu, y compris ESM.
Lors de réponses coordonnées aux vulnérabilités, Canonical recommande que les problèmes sous embargo soient traités discrètement. Si des désaccords surviennent lors de la divulgation, des coordinateurs tiers, tels que le VINCE d’un CERT/CC, peuvent intervenir pour arbitrer la discussion.
Références
https://www.evilsocket.net/2024/09/26/A ... PS-Part-I/
https://github.com/OpenPrinting/libcups ... -6g73-wmg5
https://github.com/OpenPrinting/libppd/ ... -47qg-grp6
https://github.com/OpenPrinting/cups-br ... -6mr5-rcw8
https://github.com/OpenPrinting/cups-fi ... -jxmq-gq47
https://ubuntu.com/security/CVE-2024-47076
https://ubuntu.com/security/CVE-2024-47175
https://ubuntu.com/security/CVE-2024-47176
https://ubuntu.com/security/CVE-2024-47177
https://ubuntu.com/security/notices/USN-7041-1
https://ubuntu.com/security/notices/USN-7042-1
https://ubuntu.com/security/notices/USN-7043-1
https://ubuntu.com/security/notices/USN-7044-1
https://ubuntu.com/security/notices/USN-7045-1
https://www.cve.org/CVERecord?id=CVE-2024-47076
https://www.cve.org/CVERecord?id=CVE-2024-47175
https://www.cve.org/CVERecord?id=CVE-2024-47176
https://www.cve.org/CVERecord?id=CVE-2024-47177
Pc : MLLSE M2 Plus Mini PC Intel Celeron 5205U | Pc Cinnamon v: 6.6.7 | Os Linux Mint 22.3 Zena | Kernel 6.17.0-20-generic| | Cpu dual core model: Intel Celeron 5205U bits: 64 | Ram DDR4,8 Go | Cg Intel Comet Lake UHD