16
Severe Unauthenticated RCE Flaw (CVSS 9.9) in GNU Linux Systems
Severe Unauthenticated RCE Flaw (CVSS 9.9) in GNU/Linux Systems Awaiting Full Disclosure
Was haltet ihr davon ?
Linux CVE 9.9
Was haltet ihr davon ?
Linux CVE 9.9
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668416
Url: https://administrator.de/contentid/668416
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
16 Kommentare
Neuester Kommentar
Moin @Delta9,
wenn sich das wirklich bewahrheitet ...
https://securityintelligence.com/news/fysa-critical-rce-flaw-in-gnu-linu ...
... dann ist die Sache alles andere als lustig. 😬😔
Gruss Alex
Severe Unauthenticated RCE Flaw (CVSS 9.9) in GNU/Linux Systems Awaiting Full Disclosure
Was haltet ihr davon ?
Was haltet ihr davon ?
wenn sich das wirklich bewahrheitet ...
https://securityintelligence.com/news/fysa-critical-rce-flaw-in-gnu-linu ...
The vulnerability affects multiple Linux distributions, including popular ones like Ubuntu, Debian, and Red Hat Enterprise Linux.
... dann ist die Sache alles andere als lustig. 😬😔
Gruss Alex
Für sowas gibt es doch VLANs.
Was haltet ihr davon ?
Noch weiss man ja nichts darüber. Aber 9.9 vergeben die ja eher nicht aus langeweile.Kommt halt drauf an was es betrifft. TCP/IP wäre bitter. Irgendeinen Dienst der von aussen so nicht erreicht werden kann, wäre maximal nervig und man patched dann halt baldmöglichst.
Für sowas gibt es doch VLANs.
VLAN macht dich jetzt nicht sicher, wenn der Exploit generelle Dinge betrifft, wie den Netzwerkstack.Dann wäre das (evtl.) ausnutzbar solange man irgendwie Netzwerktechnisch an den Server ran kommt
Zitat von @SeaStorm:
VLAN macht dich jetzt nicht sicher, wenn der Exploit generelle Dinge betrifft, wie den Netzwerkstack.
Dann wäre das (evtl.) ausnutzbar solange man irgendwie Netzwerktechnisch an den Server ran kommt
Dann wäre das (evtl.) ausnutzbar solange man irgendwie Netzwerktechnisch an den Server ran kommt
Stellst Du etwa ein Foren Kredo in Frage?
Unglaublich.
Und da fällt grad das aus dem Feed:
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Pa ...
Es ist also "nur" CUPS. Das hat man ja hoffentlich nicht im Internet stehen.
VLANs helfen da aber auch nicht ;) Man hat das ja deshalb weil man es für Clients erlaubt
Remediation
Disable and remove the cups-browsed service if you don’t need it (and probably you don’t).
Update the CUPS package on your systems.
In case your system can’t be updated and for some reason you rely on this service, block all traffic to UDP port 631 and possibly all DNS-SD traffic (good luck if you use zeroconf).
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Pa ...
Es ist also "nur" CUPS. Das hat man ja hoffentlich nicht im Internet stehen.
VLANs helfen da aber auch nicht ;) Man hat das ja deshalb weil man es für Clients erlaubt
Remediation
Disable and remove the cups-browsed service if you don’t need it (and probably you don’t).
Update the CUPS package on your systems.
In case your system can’t be updated and for some reason you rely on this service, block all traffic to UDP port 631 and possibly all DNS-SD traffic (good luck if you use zeroconf).
Glaube das ist eine andere Lücke.
Die 9.9 haben noch keine CVE, es wird wohl noch diskutiert ob es 3 oder 6-9 VCE's werden.
Bis jetzt gibt es noch gar keine Details, nur Spekulationen.
Montag sind wir schlauer.
Die 9.9 haben noch keine CVE, es wird wohl noch diskutiert ob es 3 oder 6-9 VCE's werden.
Bis jetzt gibt es noch gar keine Details, nur Spekulationen.
Montag sind wir schlauer.
haben noch keine CVE
doch. Steht alles im artikelCVE-2024-47176 | cups-browsed <= 2.0.1 binds on UDP INADDR_ANY:631 trusting any packet from any source to trigger a Get-Printer-Attributes IPP request to an attacker controlled URL.
CVE-2024-47076 | libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 does not validate or sanitize the IPP attributes returned from an IPP server, providing attacker controlled data to the rest of the CUPS system.
CVE-2024-47175 | libppd <= 2.1b1 ppdCreatePPDFromIPP2 does not validate or sanitize the IPP attributes when writing them to a temporary PPD file, allowing the injection of attacker controlled data in the resulting PPD.
CVE-2024-47177 | cups-filters <= 2.0.1 foomatic-rip allows arbitrary command execution via the FoomaticRIPCommandLine PPD parameter.
die CVEs wurden nur noch nicht veröffentlicht
Hatte das Update im Artikel nicht gesehen. 👍
Hm....doch kein Linux Printnightmare. Nur ein Two Girls, One CUPS. Das geht auch am Wochenende.
Das eigentliche Problem ist eher der Umgang mit den RCE bzw. CVE.
Das wird tatsächlich immer bedenklicher. Generell die ganzen disclosure Geschichten durch alle Branchen.
Das eigentliche Problem ist eher der Umgang mit den RCE bzw. CVE.
Das wird tatsächlich immer bedenklicher. Generell die ganzen disclosure Geschichten durch alle Branchen.
1
Nur ein Two Girls, One CUPS
#0fftopic: mmd!
Moin,
Zitat dazu aus dem Artikel:
... As of September 26th, Shodan.io showed over 75,000 internet-accessible hosts running CUPS ...
Holy Moly O.o
lg,
Slainte
Es ist also "nur" CUPS. Das hat man ja hoffentlich nicht im Internet stehen.
Zitat dazu aus dem Artikel:
... As of September 26th, Shodan.io showed over 75,000 internet-accessible hosts running CUPS ...
Holy Moly O.o
lg,
Slainte
1
Moin,
Ich hatte ja eher Sturm in der Wassertasse gesagt, aber der war auch gut.
lks
Zitat von @Lochkartenstanzer:
Moin,
Ich hatte ja eher Sturm in der Wassertasse gesagt, aber der war auch gut.
lks
Moin,
Ich hatte ja eher Sturm in der Wassertasse gesagt, aber der war auch gut.
lks
Selbst wenn CUPS nicht über das Internet zu erreichen wäre, haben doch sehr viele Linux Systeme in LAN CUPS. Und bei der Schwere der Anfälligkeit ist hier in Millionen Wassertassen in Kürze was los.
Stand jetzt 11:45 Uhr hat das BSI die Bundesbehörden noch nciht informiert und um Feedback gebeten.
Zitat von @150631:
Selbst wenn CUPS nicht über das Internet zu erreichen wäre, haben doch sehr viele Linux Systeme in LAN CUPS. Und bei der Schwere der Anfälligkeit ist hier in Millionen Wassertassen in Kürze was los.
Stand jetzt 11:45 Uhr hat das BSI die Bundesbehörden noch nciht informiert und um Feedback gebeten.
Zitat von @Lochkartenstanzer:
Moin,
Ich hatte ja eher Sturm in der Wassertasse gesagt, aber der war auch gut.
lks
Moin,
Ich hatte ja eher Sturm in der Wassertasse gesagt, aber der war auch gut.
lks
Selbst wenn CUPS nicht über das Internet zu erreichen wäre, haben doch sehr viele Linux Systeme in LAN CUPS. Und bei der Schwere der Anfälligkeit ist hier in Millionen Wassertassen in Kürze was los.
Stand jetzt 11:45 Uhr hat das BSI die Bundesbehörden noch nciht informiert und um Feedback gebeten.
Ironie ist wohl ncht Dein Ding.
lks
Doch doch, siehe VLANs die uns nun alle retten.
Aber seit gestern späten Nachmittag bekomme unsere Linux-System sehr viel Aufmerksamkeit und davon haben wir doch sehr viele. Und ironischer Weise ist die rote BSI Meldung noch nicht da. Vielleicht kann sie auch nur nicht gedruckt werden, in PDF?
Aber seit gestern späten Nachmittag bekomme unsere Linux-System sehr viel Aufmerksamkeit und davon haben wir doch sehr viele. Und ironischer Weise ist die rote BSI Meldung noch nicht da. Vielleicht kann sie auch nur nicht gedruckt werden, in PDF?
Puh, die Meldung war anfangs so reißerisch, aber das es jetzt "nur" CUPS betrifft, beruhigt mich. Da muß ich ja nur unsere Printserver updaten
