Refine your search

1 vulnerability found for libppd by OpenPrinting

CERTFR-2024-ALE-012
Vulnerability from certfr_alerte

[Mise à jour du 10 octobre 2024]

Le 28 septembre 2024, Elastic Security Labs a publié des règles de détection au format propriétaire de l'éditeur (cf. section Documentation), qui sont confirmées par les analyses du CERT-FR pour la détection des attaques connues.

[Publication initiale]

De multiples vulnérabilités ont été découvertes dans OpenPrinting CUPS et dans le composant cups-browsed. Celui-ci permet notamment de découvrir automatiquement des imprimantes partagées sur le réseau.

Au total, quatre vulnérabilités ont été identifiées. Elles permettent :

  • de récupérer des informations sur le système d'information de la victime;
  • d'ajouter automatiquement sur le système une nouvelle imprimante, voire de remplacer une imprimante existante;
  • d'exécuter du code arbitraire à distance, lorsque l'utilisateur lance une tâche d'impression sur l'imprimante ajoutée précédemment.

Le CERT-FR a connaissance de codes d'exploitation publics mais pas encore de cas d'exploitation active.

Solutions

[Mise à jour du 01 octobre 2024]

Des correctifs sont disponibles pour certaines distributions. (cf. section Documentation)

Mesures de contournement

[Mise à jour du 01 octobre 2024]

Pour les distributions n'ayant pas de correctif disponible, le CERT-FR recommande :

  • de désactiver le service cups-browsed si celui-ci est installé. Les commandes suivantes permettent par exemple d'arrêter puis de désactiver le service pour les systèmes utilisant systemd : 
    sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed
  • si la désactivation du service n'est pas envisageable, il est possible de modifier le fichier de configuration de cups-browsed, généralement situé dans /etc/cups/cups-browsed.conf en remplaçant la ligne BrowseRemoteProtocols dnssd cups par BrowseRemoteProtocols none;
  • de limiter l'accès au port 631 sur UDP et plus généralement de mettre en place des mécanismes de filtrage réseau utilisant des listes d'autorisation.

En l'état des connaissances actuelles, si le service cups-browsed est inaccessible, l'attaquant ne peut pas ajouter une imprimante malveillante à l'insu de l'utilisateur, ce qui bloque la chaîne d'exploitation.

Impacted products
Vendor Product Description
OpenPrinting cups-browsed OpenPrinting cups-browsed toutes versions
OpenPrinting libcupsfilters OpenPrinting libcupsfilters toutes versions
OpenPrinting libppd OpenPrinting libppd toutes versions
OpenPrinting cups-filter OpenPrinting cups-filter toutes versions
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "OpenPrinting cups-browsed toutes versions",
      "product": {
        "name": "cups-browsed",
        "vendor": {
          "name": "OpenPrinting",
          "scada": false
        }
      }
    },
    {
      "description": "OpenPrinting libcupsfilters toutes versions",
      "product": {
        "name": "libcupsfilters",
        "vendor": {
          "name": "OpenPrinting",
          "scada": false
        }
      }
    },
    {
      "description": "OpenPrinting libppd toutes versions",
      "product": {
        "name": "libppd",
        "vendor": {
          "name": "OpenPrinting",
          "scada": false
        }
      }
    },
    {
      "description": "OpenPrinting cups-filter toutes versions",
      "product": {
        "name": "cups-filter",
        "vendor": {
          "name": "OpenPrinting",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2024-11-21",
  "content": "## Solutions\n\n\u003cspan class=\"important-content\"\u003e**[Mise \u00e0 jour du 01 octobre 2024]**\u003c/span\u003e\n\nDes correctifs sont disponibles pour certaines distributions. (cf. section Documentation)\n\n## Mesures de contournement\n\n\u003cspan class=\"important-content\"\u003e**[Mise \u00e0 jour du 01 octobre 2024]**\u003c/span\u003e\n\n\u003cspan class=\"important-content\"\u003ePour les distributions n\u0027ayant pas de correctif disponible\u003c/span\u003e, le CERT-FR recommande\u00a0:\n\u003cul\u003e\n \t\u003cli\u003ede d\u00e9sactiver le service cups-browsed si celui-ci est install\u00e9. Les commandes suivantes permettent par exemple d\u0027arr\u00eater puis de d\u00e9sactiver le service pour les syst\u00e8mes utilisant systemd : \u003cbr\u003e\u003cpre\u003esudo systemctl stop cups-browsed\nsudo systemctl disable cups-browsed \u003c/pre\u003e\u003c/li\u003e\n\t\u003cli\u003esi la d\u00e9sactivation du service n\u0027est pas envisageable, il est possible de modifier le fichier de configuration de cups-browsed, g\u00e9n\u00e9ralement situ\u00e9 dans \u003ccode\u003e/etc/cups/cups-browsed.conf\u003c/code\u003e en rempla\u00e7ant la ligne \u003ccode\u003eBrowseRemoteProtocols dnssd cups\u003c/code\u003e par \u003ccode\u003eBrowseRemoteProtocols none\u003c/code\u003e;\u003c/li\u003e\n \t\u003cli\u003ede limiter l\u0027acc\u00e8s au port 631 sur UDP et plus g\u00e9n\u00e9ralement de mettre en place des m\u00e9canismes de filtrage r\u00e9seau utilisant des listes d\u0027autorisation.\u003c/li\u003e\n\t\u003c/ul\u003e\nEn l\u0027\u00e9tat des connaissances actuelles, si le service cups-browsed est inaccessible, l\u0027attaquant ne peut pas ajouter une imprimante malveillante \u00e0 l\u0027insu de l\u0027utilisateur, ce qui bloque la cha\u00eene d\u0027exploitation.\n",
  "cves": [
    {
      "name": "CVE-2024-47076",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-47076"
    },
    {
      "name": "CVE-2024-47177",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-47177"
    },
    {
      "name": "CVE-2024-47176",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-47176"
    },
    {
      "name": "CVE-2024-47175",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-47175"
    }
  ],
  "initial_release_date": "2024-09-27T00:00:00",
  "last_revision_date": "2024-11-21T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Ubuntu USN-7043-1",
      "url": "https://ubuntu.com/security/notices/USN-7043-1"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Ubuntu USN-7042-1",
      "url": "https://ubuntu.com/security/notices/USN-7042-1"
    },
    {
      "title": "Billet de blogue Elastic Security Labs du 28 septembre 2024",
      "url": "https://www.elastic.co/security-labs/cups-overflow"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DLA-3905-1",
      "url": "https://security-tracker.debian.org/tracker/DLA-3905-1"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-5778-1",
      "url": "https://security-tracker.debian.org/tracker/DSA-5778-1"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSB-2024-002",
      "url": "https://access.redhat.com/security/vulnerabilities/RHSB-2024-002"
    },
    {
      "title": "Base de connaissance SUSE 000021571",
      "url": "https://www.suse.com/support/kb/doc/?id=000021571"
    }
  ],
  "reference": "CERTFR-2024-ALE-012",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-09-27T00:00:00.000000"
    },
    {
      "description": "Ajout de publications d\u0027avis \u00e9diteur",
      "revision_date": "2024-10-01T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-11-21T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "\u003cspan class=\"important-content\"\u003e**[Mise \u00e0 jour du 10 octobre 2024]**\u003c/span\u003e\n\nLe 28 septembre 2024, Elastic Security Labs a publi\u00e9 des r\u00e8gles de d\u00e9tection au format propri\u00e9taire de l\u0027\u00e9diteur (cf. section Documentation), qui sont confirm\u00e9es par les analyses du CERT-FR pour la d\u00e9tection des attaques connues.\n\n**[Publication initiale]**\n\nDe multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans OpenPrinting CUPS et dans le composant cups-browsed. Celui-ci permet notamment de d\u00e9couvrir automatiquement des imprimantes partag\u00e9es sur le r\u00e9seau. \n\n\n\nAu total, quatre vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es. Elles permettent : \n\n- de r\u00e9cup\u00e9rer des informations sur le syst\u00e8me d\u0027information de la victime;\n- d\u0027ajouter automatiquement sur le syst\u00e8me une nouvelle imprimante, voire de remplacer une imprimante existante;\n- d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance, lorsque l\u0027utilisateur lance une t\u00e2che d\u0027impression sur l\u0027imprimante ajout\u00e9e pr\u00e9c\u00e9demment.\n\n\n Le CERT-FR a connaissance de codes d\u0027exploitation publics mais pas encore de cas d\u0027exploitation active.",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9s affectant OpenPrinting CUPS",
  "vendor_advisories": []
}