Kritische Sicherheitslücken im Linux CUPS-Drucksystem

Loading

In der OpenPrinting Common Unix Printing System (CUPS) auf Linux-Systemen wurden neue Sicherheitslücken entdeckt. Unter bestimmten Bedingungen könnten diese Schwachstellen eine Fernbefehlsausführung ermöglichen.

Ein entfernter, nicht authentifizierter Angreifer kann dabei unbemerkt bestehende Drucker-URLs durch bösartige URLs ersetzen. Sobald ein Druckauftrag von diesem Computer gestartet wird, kann der Angreifer beliebige Befehle mit den entsprechenden Benutzerrechten ohne weitere Bestätigung etc ausführen. Das hat der Sicherheitsforscher Simone Margaritelli mitgeteilt.

CUPS ist ein quelloffenes Drucksystem, das auf Linux und anderen Unix-ähnlichen Betriebssystemen wie ArchLinux, Debian, Ubuntu, Fedora und RHEL eingesetzt wird. Auch ChromeOS, FreeBSD, NetBSD, OpenBSD und verschiedene SUSE-Versionen nutzen CUPS.

Die entdeckten Schwachstellen tragen die Bezeichnungen CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 und CVE-2024-47177. Diese ermöglichen es Angreifern unter anderem, bösartige Druckertreiber zu installieren oder schädlichen Code auszuführen. Dazu reicht es aus, dass der Angreifer manipulierte IPP-Anfragen stellt.

Auch wenn die Fehler schwerwiegend sind, ist die reale Bedrohung begrenzt. Systeme sind nur gefährdet, wenn der UDP-Port 631 öffentlich zugänglich ist. Patches zur Behebung dieser Lücken werden in Kürze erwartet. Ubuntu wird bereits mit Patches beliefert. Bis andere Distros soweit sind, wird empfohlen den cups-browsed-Dienst zu deaktivieren und den Zugang zu UDP-Port 631 via Firewall einzuschränken.

5 Antworten zu „Kritische Sicherheitslücken im Linux CUPS-Drucksystem“

  1. Anonymous

    Dann muss Ubuntu ihr Chromium Snap Paket anpassen oder?

    Das wird als Abhängigkeit installiert:
    cups 2.4.10-1 1058 latest/stable openprinting✓

    systemctl status snap.cups.cups-browsed.service

  2. Uwe

    Updates wurden hier, gefühlt, vor etwa 45-60 Min eingespielt.
    Also etwa geg. 18:45 /19:00 Uhr
    Linux Mint Debian – Vers. 6

  3. Kurt

    Bei mir auf einem Lenovo Ideapad und einem Surface 3 unter Ubuntu 22.04.5 reingekommen, das Update.
    Bis jetzt keine Probleme.
    Generell eine Freude wie rasch Updates mit Linux erledigt sind.

  4. Ponce-De-Leon

    Wäre es eventuell möglich die Versionsnummern der Pakete für Ubuntu 22.04 zu ergänzen? Auf dem Bild ist das ja Ubuntu 24.04.

  5. AlphaElwedritsch

    Solus hat die Lücke bereits letzten Freitag, 27.09. morgens um 11 Uhr gefixed.

    Grüße
    Alpha

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert