evilsocket, un hacker e ricercato di sicurezza italiano, ha trovato una vulnerabilità piuttosto grave nel famoso programma per la gestione delle stampanti, CUPS, presente su Linux ma anche su altri sistemi Unix-like come BSD, MacOS e ChromeOS.
In particolare il demone identificato è cups-browsed che, se in esecuzione sul sistema (molte distro ce l'hanno per impostazione predefinita) accetta connessioni da ogni host della stessa rete al quale è conneso il computer e un attaccante potrebbe aggiungere una stampante (o sostituirne una già installata) che, qualora si comandi la stampa con quest'ultima, potrebbe eseguire del codice malevolo.
Attualmente non esiste una patch ma non c'è nemmeno da allarmarsi troppo.
Se si utilizza il computer solo in una rete domestica, alla quale abbiamo connesso solo dispositivi sicuri, possiamo stare abbastanza tranquilli.
Se invece ci connettiamo spesso a Wi-Fi pubblici o dove hanno accesso molte persone, allora meglio prendere delle precauzioni. La soluzione più semplice e pratica e che non dovrebbe avere effetti negativi sulla vostra esperienza di utilizzo (se non avete da configurare una stampante diversa ogni volta che vi connettete ad una nuova rete) è disabilitare e impedire l'avvio di cups-browsed con il comando:
Aiutatemi a capire, visto che il mio inglese è pessimo.
Oggi vado per aggiornare una delle macchine con Linux Mint 22 Cinnamon e mi ritrovo con questi due aggiornamenti (risalenti al 26 settembre, se non ho compreso male):
e
Ho dato un'occhiata, ammetto, al blog segnalato da CUB3 e anche lì c'è un articolo datato 26 settembre 2024.
Insomma, la questione è nata ed è stata risolta oppure è, diciamo così, ancora in corso?
Grazie per l'aiuto.
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
A parte il fatto che io non ho sentito tutto questo rumore, mi sembra proprio che l'articolo da te linkato sia più uno sfogo di frustrazione dell'autore che altro.
OK, non è un problema per l'installazione di default di RedHat (ma lo era per Ubuntu e derivate, per esempio), per questo non si dovrebbe parlare di una vulnerabilità che, in determinate situazioni, consente l'esecuzione di codice da remoto? Ho sottolineato "parlare" perché non mi sembra che sia stata proposta in toni allarmistici oppure il solo fatto di parlarne è considerato catastrofismo?
Si dovrebbe parlare di una vulnerabilità solo quando è un problema dell'installazione di default di RedHat oppure quando è già stata sfruttata per fare danni? Allora forse non valeva la pena nemmeno parlare della backdoor di xz...
Nel frattempo sembra che la vulnerabilità sia stata patchata un po' da tutte le distro Linux.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
CUB3 ha scritto: ↑sab ott 05, 2024 7:37 am
Nel frattempo sembra che la vulnerabilità sia stata patchata un po' da tutte le distro Linux.
Temo che i "miei" Linux Mint 22 non abbiano ricevuto alcuna patch; altrimenti questi sarebbero stati presentati nella lista degli aggiornamenti disponibili, sbaglio?
Domanda alquanto cretina, ma per esserne certo ...
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Matilda12 ha scritto: ↑dom ott 06, 2024 8:41 am
Temo che i "miei" Linux Mint 22 non abbiano ricevuto alcuna patch; altrimenti questi sarebbero stati presentati nella lista degli aggiornamenti disponibili, sbaglio?
Scusami Matilda12, ho commesso un errore: controllando meglio, il tuo sistema è già stato patchato la volta scorsa!
Il pacchetto di cups-browsed in versione 2.0.0-0ubuntu10.1 è già stato patchato per la vulnerabilità identificata da CVE-2024-47176, mi aveva tratto in inganno il fatto che questa non fosse menzionata nel changelog (anche se "CVE number pending" avrebbe dovuto insospettirmi ).
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
CUB3 ha scritto: ↑dom ott 06, 2024 10:11 am
Scusami Matilda12, ho commesso un errore: controllando meglio, il tuo sistema è già stato patchato la volta scorsa!
Per carità!!! Nessunissimo problema!!!
Anzi, ancora una volta grazie, sia per il riscontro sia per avermi dato l'imbeccata di come guardare il changelog!
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
cups-browsed (2.0.0-0ubuntu10.2) noble-security; urgency=medium
* SECURITY UPDATE: more complete fix for CVE-2024-47176
- debian/patches/CVE-2024-47176-2.patch: completely remove support for
legacy CUPS protocol and LDAP.
- CVE-2024-47176
* debian/patches/sec-202409-1.patch: renamed to CVE-2024-47176-1.patch.
-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Tue, 08 Oct 2024 08:19:06 -0400
Una screenshot.
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.