9月25日,麒麟软件安全团队监测到影响几乎所有GNU/Linux发行版的未经身份验证的远程代码执行漏洞。监测到威胁后,第一时间组织安全专家对漏洞进行深入分析,24小时内成功复现漏洞并定位漏洞存在于操作系统的CUPS组件中。
9月26日CUPS漏洞相关细节被公开,披露情况如下:
CPUS 打印服务存在多个安全漏洞 | |
CVE-2024-47076 | 该漏洞源于libcupsfilters中的cfGetPrinterAttributes5函数不会清理从 IPP 服务器返回的 IPP 属性。当使用这些 IPP 属性时,可能导致攻击者控制的数据被提供给 CUPS 系统的其余部分。 |
CVE-2024-47175 | 该漏洞源于libppd的函数ppdCreatePPDFromIPP2在创建 PPD 缓冲区时不会清理 IPP 属性。 |
CVE-2024-47176 | 该漏洞源于cups-browsed绑定到INADDR_ANY:631,导致它信任来自任何来源的任何数据包,并可能导致向攻击者控制的 URL 发出Get-Printer-Attributes IPP 请求。 |
CVE-2024-47177 | 该漏洞源于通过 PPD 文件传递给FoomaticRIPCommandLine的任何值都将作为用户控制的命令执行。当与 CVE_2024-47176 中所述的其他逻辑错误结合时,这可能导致远程命令执行。 |
本次CUPS安全事件揭示了多个系统组件包中存在的漏洞,这些漏洞相互关联,构成了一条可导致远程代码执行的完整攻击链。麒麟软件深入排查,发现这些漏洞已在GNU/Linux发行版中存在超过10年之久,目前暂无明确证据支持是蓄意投毒所为,但提高开源软件供应链的安全已成为业内迫在眉睫的共识。
国家信息安全漏洞库(CNNVD)
经验证,CUPS漏洞是在操作系统启用cups-browsed服务监听631端口接收UDP数据包时,未经身份验证的攻击者可通过构造恶意的IPP服务器诱导受害者进行配置,在此情景下,攻击者可实现在远程无交互情况下在目标操作系统上执行任意命令。
麒麟软件对漏洞进行确认,默认配置下在维护期的操作系统产品中cups-browsed服务均处于未启用状态,攻击者无法实现用户无交互的远程命令执行,故不易受攻击。
组件影响域:
CVE-2024-47176:cups-browsed
临时缓解措施:
禁用cups-browsed服务(系统默认禁用),可以缓解用户无交互情况导致的远程代码执行。
$ sudo systemctl disable cups-browsed --now
禁用CUPS服务,可彻底缓解漏洞。
$ sudo systemctl disable cups --now
注意:禁用CUPS服务会导致操作系统打印机功能不可用,建议升级CUPS到安全版本解决。
在监测到此漏洞信息后,麒麟软件第一时间进行漏洞分析,并推动漏洞修复,完成主线操作系统漏洞补丁制作、发布官网公告。
您可以访问以下网址或点击文末“阅读原文”,了解详细的更新升级方法并完成修复。https://www.kylinos.cn/support/loophole/patch.html
麒麟软件已经建立有高效的安全事件应急响应流程和完善IT化平台支撑,确保在发生安全事件时可以高效完成安全事件的处置,给用户提供更优质的服务。
此次CUPS安全漏洞事件处置主要过程记录:
9月25日,监测到此漏洞信息,并收到上级监管的漏洞预警通知。
9月30日,5个工作日内相关主线版本完成补丁包推送外网源、发布官网公告,用户可升级CUPS组件。
麒麟软件将不断强化安全事件监测、安全事件应急响应流程与策略,通过不断提升安全事件的快速识别、高效处置与根源分析能力,进一步巩固基础软件的安全防线,为用户的系统安全保驾护航。
通讯员 | 罗雨佳、朱天旭
来 源 | 安全研发部、生态与技术服务中心
