腾讯云公告 > 公告详情
扫码查看公告
【安全通告】Unix CUPS 远程代码执行漏洞风险通告(CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177)
尊敬的腾讯云用户,您好!
腾讯云安全中心监测到,Unix CUPS 被披露其存在远程代码执行漏洞,利用链涉及多个漏洞编号,分别为CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177。可导致未经身份验证的远程攻击者执行任意代码等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
CUPS(Common UNIX Printing System),即通用 Unix 打印系统,被广泛用于大多数 GNU/Linuх 发行版和其他平台(如 BSD、Google Chromium/ChrоmеOS 和 Oracle Sоlаriѕ)上,允许用户在网络上共享打印机,并提供了一套强大的工具和接口,用于管理打印作业、打印队列和打印机设置。
据描述,CUPS 打印系统存在远程代码执行漏洞,当 cups-browsed 服务启用时,未经身份验证的远程攻击者可通过向目标系统的 631 端口发送 UDP 数据包进行利用,通过构造恶意的 IPP URL 替换现有的打印机(或安装新的打印机),从而导致当服务器在启动打印作业时执行任意代码。
利用条件:
启用 cups-browsed 服务,并且 cups-browsed 服务所在的服务器必须能够出网。
目前该漏洞的漏洞细节、POC已公开。
风险等级
高风险
漏洞风险
未经身份验证的远程攻击者利用该漏洞可执行任意代码等危害。
影响版本
CVE-2024-47076:libcupsfilters <= 2.1b1
CVE-2024-47175:libppd <= 2.1b1
CVE-2024-47176:cups-browsed <= 2.0.1
CVE-2024-47177:cups-filters <= 2.0.1
CVE-2024-47175:libppd <= 2.1b1
CVE-2024-47176:cups-browsed <= 2.0.1
CVE-2024-47177:cups-filters <= 2.0.1
安全版本
Ubuntu 24.04 LTS:
cups-browsed >= 2.0.0-0ubuntu10.1
Ubuntu 22.04 LTS:
cups-browsed >= 1.28.15-0ubuntu1.3
cups-filters >= 1.28.15-0ubuntu1.3
Ubuntu 20.04 LTS:
cups-browsed >= 1.27.4-1ubuntu0.3
cups-filters >= 1.27.4-1ubuntu0.3
cups-browsed >= 2.0.0-0ubuntu10.1
Ubuntu 22.04 LTS:
cups-browsed >= 1.28.15-0ubuntu1.3
cups-filters >= 1.28.15-0ubuntu1.3
Ubuntu 20.04 LTS:
cups-browsed >= 1.27.4-1ubuntu0.3
cups-filters >= 1.27.4-1ubuntu0.3
修复建议
缓解措施:
1. 如果您不需要 cups-browsed 服务,请禁用该服务:
(1) 可以使用以下命令来确定 cups-browsed 是否正在运行:
$ sudo systemctl status cups-browsed
(2) 如果返回的结果为 "running" 或 "enabled",再检查 /etc/cups/cups-browsed.conf 并搜索 "BrowseRemoteProtocols",如果在配置文件中的值为 "cups"(例如:BrowseRemoteProtocols dnssd cups),则系统存在漏洞,建议通过以下命令禁用:
$ sudo systemctl stop cups-browsed
$ sudo systemctl disable cups-browsed
2. 如果您希望保持 cups-browsed 运行以自动发现客户端系统上的打印机,则可以通过对 /etc/cups/cups-browsed.conf 配置文件进行以下更改来防止此漏洞:
(1) 修改 BrowseRemoteProtocols dnssd cups 为:BrowseRemoteProtocols none
(2) 然后通过以下命令重新启动 cups-browsed:
$ sudo systemctl restart cups-browsed
3. 如果您的系统无法更新,并且由于某种原因您依赖此服务,建议阻止所有到 UDP 端口 631 的流量以及可能的所有 DNS-SD 流量。
4. Ubuntu 用户修复方案:
可通过以下命令更新对应的软件包,然后重启服务:
$ sudo apt update && sudo apt install --only-upgrade cups-browsed cups-filters cups-filters-core-drivers libcupsfilters2t64 libppd2 libppd-utils ppdc
$ sudo systemctl restart cups
1. 如果您不需要 cups-browsed 服务,请禁用该服务:
(1) 可以使用以下命令来确定 cups-browsed 是否正在运行:
$ sudo systemctl status cups-browsed
(2) 如果返回的结果为 "running" 或 "enabled",再检查 /etc/cups/cups-browsed.conf 并搜索 "BrowseRemoteProtocols",如果在配置文件中的值为 "cups"(例如:BrowseRemoteProtocols dnssd cups),则系统存在漏洞,建议通过以下命令禁用:
$ sudo systemctl stop cups-browsed
$ sudo systemctl disable cups-browsed
2. 如果您希望保持 cups-browsed 运行以自动发现客户端系统上的打印机,则可以通过对 /etc/cups/cups-browsed.conf 配置文件进行以下更改来防止此漏洞:
(1) 修改 BrowseRemoteProtocols dnssd cups 为:BrowseRemoteProtocols none
(2) 然后通过以下命令重新启动 cups-browsed:
$ sudo systemctl restart cups-browsed
3. 如果您的系统无法更新,并且由于某种原因您依赖此服务,建议阻止所有到 UDP 端口 631 的流量以及可能的所有 DNS-SD 流量。
4. Ubuntu 用户修复方案:
可通过以下命令更新对应的软件包,然后重启服务:
$ sudo apt update && sudo apt install --only-upgrade cups-browsed cups-filters cups-filters-core-drivers libcupsfilters2t64 libppd2 libppd-utils ppdc
$ sudo systemctl restart cups
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8https://github.com/OpenPrinting/cups-filters/security/advisories/GHSA-p9rh-jxmq-gq47
https://github.com/OpenPrinting/libcupsfilters/security/advisories/GHSA-w63j-6g73-wmg5
https://github.com/OpenPrinting/libppd/security/advisories/GHSA-7xfx-47qg-grp6
2024-09-27