delta9
Goto Top

Severe Unauthenticated RCE Flaw (CVSS 9.9) in GNU Linux Systems

Severe Unauthenticated RCE Flaw (CVSS 9.9) in GNU/Linux Systems Awaiting Full Disclosure

Was haltet ihr davon ?
Linux CVE 9.9

Content-ID: 668416

Url: https://administrator.de/contentid/668416

Printed on: October 15, 2024 at 07:10 o'clock

MysticFoxDE
MysticFoxDE Sep 26, 2024 at 18:54:09 (UTC)
Goto Top
Moin @Delta9,

Severe Unauthenticated RCE Flaw (CVSS 9.9) in GNU/Linux Systems Awaiting Full Disclosure

Was haltet ihr davon ?

wenn sich das wirklich bewahrheitet ...

https://securityintelligence.com/news/fysa-critical-rce-flaw-in-gnu-linu ...

The vulnerability affects multiple Linux distributions, including popular ones like Ubuntu, Debian, and Red Hat Enterprise Linux.

... dann ist die Sache alles andere als lustig. 😬😔

Gruss Alex
Trinatrium
Trinatrium Sep 26, 2024 at 19:45:08 (UTC)
Goto Top
Für sowas gibt es doch VLANs.
SeaStorm
SeaStorm Sep 26, 2024 at 19:57:37 (UTC)
Goto Top
Was haltet ihr davon ?
Noch weiss man ja nichts darüber. Aber 9.9 vergeben die ja eher nicht aus langeweile.
Kommt halt drauf an was es betrifft. TCP/IP wäre bitter. Irgendeinen Dienst der von aussen so nicht erreicht werden kann, wäre maximal nervig und man patched dann halt baldmöglichst.

Für sowas gibt es doch VLANs.
VLAN macht dich jetzt nicht sicher, wenn der Exploit generelle Dinge betrifft, wie den Netzwerkstack.
Dann wäre das (evtl.) ausnutzbar solange man irgendwie Netzwerktechnisch an den Server ran kommt
Trinatrium
Trinatrium Sep 26, 2024 updated at 20:24:38 (UTC)
Goto Top
Zitat von @SeaStorm:


VLAN macht dich jetzt nicht sicher, wenn der Exploit generelle Dinge betrifft, wie den Netzwerkstack.
Dann wäre das (evtl.) ausnutzbar solange man irgendwie Netzwerktechnisch an den Server ran kommt

Stellst Du etwa ein Foren Kredo in Frage?
Unglaublich.
SeaStorm
SeaStorm Sep 26, 2024 updated at 20:19:18 (UTC)
Goto Top
Und da fällt grad das aus dem Feed:
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Pa ...

Es ist also "nur" CUPS. Das hat man ja hoffentlich nicht im Internet stehen.

VLANs helfen da aber auch nicht ;) Man hat das ja deshalb weil man es für Clients erlaubt


Remediation

Disable and remove the cups-browsed service if you don’t need it (and probably you don’t).
Update the CUPS package on your systems.
In case your system can’t be updated and for some reason you rely on this service, block all traffic to UDP port 631 and possibly all DNS-SD traffic (good luck if you use zeroconf).
Delta9
Delta9 Sep 26, 2024 at 20:35:21 (UTC)
Goto Top
Glaube das ist eine andere Lücke.

Die 9.9 haben noch keine CVE, es wird wohl noch diskutiert ob es 3 oder 6-9 VCE's werden.

Bis jetzt gibt es noch gar keine Details, nur Spekulationen.
Montag sind wir schlauer.
SeaStorm
SeaStorm Sep 26, 2024 at 20:58:19 (UTC)
Goto Top
haben noch keine CVE
doch. Steht alles im artikel

CVE-2024-47176 | cups-browsed <= 2.0.1 binds on UDP INADDR_ANY:631 trusting any packet from any source to trigger a Get-Printer-Attributes IPP request to an attacker controlled URL.
CVE-2024-47076 | libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 does not validate or sanitize the IPP attributes returned from an IPP server, providing attacker controlled data to the rest of the CUPS system.
CVE-2024-47175 | libppd <= 2.1b1 ppdCreatePPDFromIPP2 does not validate or sanitize the IPP attributes when writing them to a temporary PPD file, allowing the injection of attacker controlled data in the resulting PPD.
CVE-2024-47177 | cups-filters <= 2.0.1 foomatic-rip allows arbitrary command execution via the FoomaticRIPCommandLine PPD parameter.

die CVEs wurden nur noch nicht veröffentlicht
Delta9
Delta9 Sep 26, 2024 at 22:05:32 (UTC)
Goto Top
Hatte das Update im Artikel nicht gesehen. 👍
kpunkt
kpunkt Sep 27, 2024 at 06:39:24 (UTC)
Goto Top
Hm....doch kein Linux Printnightmare. Nur ein Two Girls, One CUPS. Das geht auch am Wochenende.

Das eigentliche Problem ist eher der Umgang mit den RCE bzw. CVE.
Das wird tatsächlich immer bedenklicher. Generell die ganzen disclosure Geschichten durch alle Branchen.
stacktrace
stacktrace Sep 27, 2024 at 06:48:38 (UTC)
Goto Top
Nur ein Two Girls, One CUPS

#0fftopic: mmd!
SlainteMhath
SlainteMhath Sep 27, 2024 at 06:53:59 (UTC)
Goto Top
Moin,

Es ist also "nur" CUPS. Das hat man ja hoffentlich nicht im Internet stehen.

Zitat dazu aus dem Artikel:
... As of September 26th, Shodan.io showed over 75,000 internet-accessible hosts running CUPS ...

Holy Moly O.o

lg,
Slainte
Lochkartenstanzer
Lochkartenstanzer Sep 27, 2024 at 07:21:27 (UTC)
Goto Top
Zitat von @kpunkt:

Nur ein Two Girls, One CUPS.

Moin,

Ich hatte ja eher Sturm in der Wassertasse gesagt, aber der war auch gut. face-smile

lks
Trinatrium
Trinatrium Sep 27, 2024 at 09:50:19 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @kpunkt:

Nur ein Two Girls, One CUPS.

Moin,

Ich hatte ja eher Sturm in der Wassertasse gesagt, aber der war auch gut. face-smile

lks

Selbst wenn CUPS nicht über das Internet zu erreichen wäre, haben doch sehr viele Linux Systeme in LAN CUPS. Und bei der Schwere der Anfälligkeit ist hier in Millionen Wassertassen in Kürze was los.

Stand jetzt 11:45 Uhr hat das BSI die Bundesbehörden noch nciht informiert und um Feedback gebeten.
Lochkartenstanzer
Lochkartenstanzer Sep 27, 2024 at 10:00:39 (UTC)
Goto Top
Zitat von @Trinatrium:

Zitat von @Lochkartenstanzer:

Zitat von @kpunkt:

Nur ein Two Girls, One CUPS.

Moin,

Ich hatte ja eher Sturm in der Wassertasse gesagt, aber der war auch gut. face-smile

lks

Selbst wenn CUPS nicht über das Internet zu erreichen wäre, haben doch sehr viele Linux Systeme in LAN CUPS. Und bei der Schwere der Anfälligkeit ist hier in Millionen Wassertassen in Kürze was los.

Stand jetzt 11:45 Uhr hat das BSI die Bundesbehörden noch nciht informiert und um Feedback gebeten.

Ironie ist wohl ncht Dein Ding. face-smile

lks
Trinatrium
Trinatrium Sep 27, 2024 at 10:06:07 (UTC)
Goto Top
Doch doch, siehe VLANs die uns nun alle retten.

Aber seit gestern späten Nachmittag bekomme unsere Linux-System sehr viel Aufmerksamkeit und davon haben wir doch sehr viele. Und ironischer Weise ist die rote BSI Meldung noch nicht da. Vielleicht kann sie auch nur nicht gedruckt werden, in PDF?
ipzipzap
ipzipzap Sep 27, 2024 at 11:44:09 (UTC)
Goto Top
Puh, die Meldung war anfangs so reißerisch, aber das es jetzt "nur" CUPS betrifft, beruhigt mich. Da muß ich ja nur unsere Printserver updaten face-smile