Обновлено После нескольких дней ожидания и предвкушения то, что было объявлено одной или несколькими критическими уязвимостями удаленного выполнения кода без аутентификации во всех системах Linux, сегодня наконец-то было раскрыто.
Короче говоря, если вы используете систему печати Unix CUPS, включая cups-browsed, то вы можете быть уязвимы для атак, которые могут привести к захвату вашего компьютера по сети или через Интернет.
Ошибки были обнаружены и раскрыты разработчиком программного обеспечения Симоне Маргарителли, который теперь открыто и подробно раскрыл проблему здесь.
По словам Маргарителли, на данный момент вам нужно знать следующее:
- Отключите и/или удалите службу cups-browsed.
- Обновите установку CUPS, чтобы получить обновления безопасности, когда они появятся.
- Заблокируйте доступ к порту UDP 631 и рассмотрите возможность блокировки DNS-SD.
- Это касается «большинства» дистрибутивов Linux, «некоторых» BSD, возможно, Google ChromeOS, Oracle Solaris и, возможно, других, поскольку CUPS довольно широко включен в дистрибутивы.
- Чтобы использовать это через Интернет или локальную сеть, злоумышленнику просто нужно получить доступ к вашей службе CUPS через порт UDP 631. Надеюсь, никто из вас не имеет доступа к публичному Интернету.
- Если порт 631 недоступен, злоумышленник может подделать рекламу zeroconf, mDNS или DNS-SD, чтобы получить доступ к эксплуатации. Подробности этого пути будут раскрыты позже. Фактически, обещаны дополнительные подробности.
Если у вас нет CUPS и/или cups-browsed в вашей системе, все в порядке. Если вы уже отключили CUPS с помощью брандмауэра, то, скорее всего, все в порядке.
Как можно взломать уязвимую систему? «Удаленный неаутентифицированный злоумышленник может незаметно заменить URL-адреса IPP существующих принтеров (или установить новые) вредоносными, что приведет к выполнению произвольной команды (на компьютере) при запуске задания печати (с этого компьютера)», — говорит Маргарителли.
Возьмите всю эту информацию и решите для себя, насколько вы подвержены риску и какие шаги следует предпринять. Маргарителли считает, что в общедоступном Интернете есть сотни тысяч устройств, подверженных риску.
Ранее он жаловался в ветке социальных сетей, что его сообщения об ошибках не воспринимаются достаточно серьезно, и решил полностью обнародовать их, почувствовав, что наталкивается на сопротивление со стороны коллег-разработчиков.
Он сказал, что обнаруженные им проблемы заслуживают оценки серьезности CVSS 9,9 из 10, и сказал, что создатель Ubuntu Canonical и Red Hat от IBM согласились с ним в этом вопросе. Мы ждем подтверждения от обеих организаций.
«Уязвимость с оценкой CVSS 9,9 указывает на низкую сложность эксплуатации, и признаки указывают на недостаток, существующий в ядре системы», — сказал технический директор Sonatype Брайан Фокс The Register перед сегодняшним раскрытием информации.
«Учитывая, что это Linux, масштаб этой уязвимости огромен, и успешная эксплуатация может иметь разрушительные последствия — все, от вашего маршрутизатора Wi-Fi до сети, поддерживающей свет, работает на Linux».
Теперь это срочная новость. В последний раз он был пересмотрен в 2050 UTC после обнаружения ошибок. Мы продолжим обновлять его по мере необходимости. Скоро заходите.