如果您在過去幾天的某個時候對 Linux 社群媒體提要睜一隻眼閉一隻眼,那麼您可能已經聽到了一個巨大的 Linux 安全漏洞即將被披露的風聲。
今天,它是:一個遠端程式碼執行缺陷,影響大多數主要桌面 Linux 發行版(包括 Ubuntu 和 Chrome OS)中使用的 CUPS 列印堆疊。
它的嚴重性得分為 9.9,處於最嚴重漏洞的邊緣。
規範解釋在它的安全博客:「該漏洞的核心是透過欺騙 CUPS 為包含任意命令的印表機產生攻擊者控制的 PPD(PostScript 印表機描述)檔案來利用該漏洞。”
「每當下一個列印作業發送到相關印表機時,該命令將以 lp 用戶身份執行(這是 CUPS 守護程序運行的用戶,並且除非存在其他可利用的漏洞,否則不會具有升級的權限)。”
許多引人注目的安全漏洞通常會影響特定的硬體或配置,或者需要不熟練的人才能實際存取您的電腦才能運作。
你可能會想,「不用擔心!沒有人會欺騙我電腦上的列印服務,在我不知情的情況下做一些事情。
但西蒙娜·瑪格麗特利 (Simone Margaritelli) 發現了這個缺陷,並努力讓其像他認為的那樣認真對待,他在詳細的解釋中解釋道。寫在他的部落格上這可以以靜默、遠端且無需身份驗證的方式完成。
在網路上“遠端攻擊者向連接埠 631 發送 UDP 封包。沒有任何身份驗證,”或在區域網路上,「欺騙 Zeroconf / mDNS / DNS-SD 廣告」。
紅帽打破鏈條一步一步:
- The cups-browsed 服務已手動啟用或啟動
- 攻擊者可以存取易受攻擊的伺服器,該伺服器:
- 允許不受限制的訪問,例如公共互聯網,或
- 存取本地連接受信任的內部網絡
- 攻擊者宣傳惡意 IPP 伺服器,從而配置惡意印表機
- 潛在受害者嘗試從惡意裝置列印
- 攻擊者在受害者的機器上執行任意程式碼
令人震驚的是,這個漏洞肯定已經存在了好幾年。
停止列印!請勿恐慌!
到目前為止,這麼可怕嗎?但有一些好消息:
- 如果您使用封鎖受影響連接埠的防火牆或 NAT 路由器,您可能永遠不會受到此攻擊
- Canonical 的安全團隊已針對受影響的軟體包發布了重要的安全性更新。這些更新將在今天推廣到所有受支援的 Ubuntu 版本。
留意更新cups-browsed,cups-filters,libcupsfilters和libppd這些修復修復了受影響軟體包中的四個缺陷和一些錯誤。
上述連結的報導值得閱讀,以了解更多背景知識和背景。
雖然 Canonical 的報導令人放心,但 Margaritelli 強調了讓受影響軟體包的負責人最初承認問題的困難。
關於 CUPS,他得出結論:「我已經看到並攻擊過該程式碼庫,足以從我的任何系統中刪除任何 CUPS 服務、二進位檔案和函式庫,並且再也不會使用 UNIX 系統進行列印。我還將刪除所有 Zeroconf / avahi / bonjour 監聽器。
毫無疑問,許多其他知識人士正在社交媒體上提供技術故障和分析,所以如果您非常熱衷於了解更多信息?做。
不管怎樣,去安裝 Canonical 推出的安全性修補程式(如果您啟用了無人值守升級,它們可能已經安裝了),然後重新啟動您的電腦以確保一切都正確到位。
下次我從 Ubuntu 發送要列印的內容時,我可能會在工作完成後仔細檢查我的系統進程?