Le 27/09/2024 à 09:18, Niffo-Whois a écrit :
Le jeudi 26 septembre 2024 à 22:13 +0200, Laurent Barme a écrit :
Merci pour ce lien qui contient enfin une information exploitable, On
y trouve, dans la section " Remediation" :
Disable and remove the cups-browsed service if you don’t need it (and
probably you don’t).
Et donc encore faut-il avoir installé cups-browsed pour se sentir
concerné ?
On peut supposer/espérer que rares sont les machines exposées qui sont
connectées à une imprimante à papier (technologie du 20ème siècle) et
donc ont Cups installé ...
Niffo
Pour ce que je peux en voir sur mes machines, cups-browsed n'est pas installé
automatiquement sur les serveurs (du moins pas en Debian) mais ça l'est sur un
Raspberry Pi 5 Desktop !
Par contre, si on regarde de plus près le processus d'attaque :
Force the target machine to connect back to our malicious IPP server.
Return an IPP attribute string that will inject controlled PPD directives
to the temporary file.
Wait for a print job to be sent to our fake printer for the PPD directives,
and therefore the command, to be executed.
C'est le "Wait for a print job…" qui est intéressant : encore faudrait-il
apparemment qu'un utilisateur choisisse d'utiliser une fausse imprimante
installé ailleurs.
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
