Ca a de bonnes chances d'être installé par défaut sur tout distrib
orientée bureautique et pas sur les autres (à voir les trucs comme
ubuntu server)
Mais sur un serveur normalement constitué, un petit firewall local aura
déjà protégé tout le monde...
Jacques
Le 27/09/2024 à 10:22, Laurent Barme a écrit :
Le 27/09/2024 à 09:18, Niffo-Whois a écrit :
Le jeudi 26 septembre 2024 à 22:13 +0200, Laurent Barme a écrit :
Merci pour ce lien qui contient enfin une information exploitable, On
y trouve, dans la section " Remediation" :
Disable and remove the cups-browsed service if you don’t need it (and
probably you don’t).
Et donc encore faut-il avoir installé cups-browsed pour se sentir
concerné ?
On peut supposer/espérer que rares sont les machines exposées qui sont
connectées à une imprimante à papier (technologie du 20ème siècle) et
donc ont Cups installé ...
Niffo
Pour ce que je peux en voir sur mes machines, cups-browsed n'est pas
installé automatiquement sur les serveurs (du moins pas en Debian)
mais ça l'est sur un Raspberry Pi 5 Desktop !
Par contre, si on regarde de plus près le processus d'attaque :
Force the target machine to connect back to our malicious IPP server.
Return an IPP attribute string that will inject controlled PPD
directives to the temporary file.
Wait for a print job to be sent to our fake printer for the PPD
directives, and therefore the command, to be executed.
C'est le "Wait for a print job…" qui est intéressant : encore
faudrait-il apparemment qu'un utilisateur choisisse d'utiliser une
fausse imprimante installé ailleurs.
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/