如果您在过去几天的某个时候对 Linux 社交媒体提要睁一只眼闭一只眼,那么您可能已经听到了一个巨大的 Linux 安全漏洞即将被披露的风声。
今天,它是:一个远程代码执行缺陷,影响大多数主要桌面 Linux 发行版(包括 Ubuntu 和 Chrome OS)中使用的 CUPS 打印堆栈。
它的严重性得分为 9.9,处于最严重漏洞的边缘。
规范解释在它的安全博客:“该漏洞的核心是通过欺骗 CUPS 为包含任意命令的打印机生成攻击者控制的 PPD(PostScript 打印机描述)文件来利用该漏洞。”
“每当下一个打印作业发送到相关打印机时,该命令将以 lp 用户身份执行(这是 CUPS 守护程序运行的用户,并且除非存在其他可利用的漏洞,否则不会具有升级的权限)。”
许多引人注目的安全漏洞通常会影响特定的硬件或配置,或者需要不熟练的人才能物理访问您的计算机才能工作。
你可能会想,“不用担心!没有人会欺骗我计算机上的打印服务,在我不知情的情况下做一些事情。”
但西蒙娜·玛格丽特利 (Simone Margaritelli) 发现了这个缺陷,并努力让其像他认为的那样认真对待,他在详细的解释中解释道。写在他的博客上这可以以静默、远程且无需身份验证的方式完成。
在互联网上“远程攻击者向端口 631 发送 UDP 数据包。没有任何身份验证,”或在局域网上,“欺骗 Zeroconf / mDNS / DNS-SD 广告”。
红帽打破链条一步一步:
- The cups-browsed 服务已手动启用或启动
- 攻击者可以访问易受攻击的服务器,该服务器:
- 允许不受限制的访问,例如公共互联网,或
- 访问本地连接受信任的内部网络
- 攻击者宣传恶意 IPP 服务器,从而配置恶意打印机
- 潜在受害者尝试从恶意设备进行打印
- 攻击者在受害者机器上执行任意代码
令人震惊的是,这个漏洞肯定已经存在多年了。
停止打印!不要恐慌!
到目前为止,还是很可怕——但有一些好消息:
- 如果您使用阻止受影响端口的防火墙或 NAT 路由器,您可能永远不会受到此攻击
- Canonical 的安全团队已针对受影响的软件包发布了重要的安全更新。这些更新今天将推广到所有受支持的 Ubuntu 版本。
留意更新cups-browsed,cups-filters,libcupsfilters和libppd这些修复修复了受影响软件包中的四个缺陷和一些错误。
上述链接的报道值得阅读,以了解更多背景知识和背景。
虽然 Canonical 的报道令人放心,但 Margaritelli 强调了让受影响软件包的负责人最初承认问题的难度。
关于 CUPS,他得出结论:“我已经看到并攻击过该代码库,足以从我的任何系统中删除任何 CUPS 服务、二进制文件和库,并且再也不会使用 UNIX 系统进行打印。我还将删除所有 Zeroconf / avahi / bonjour 监听器。”
毫无疑问,许多其他知识人士正在社交媒体上提供技术故障和分析,所以如果您非常热衷于了解更多信息……我会说搜索术语“CUPS”,但我在 2006 年使用互联网,所以……不要那样做。
不管怎样,去安装 Canonical 推出的安全补丁(如果您启用了无人值守升级,它们可能已经安装了),然后重新启动您的计算机以确保一切都正确到位。
下次我从 Ubuntu 发送要打印的内容时,我可能会在工作完成后仔细检查我的系统进程......
