Hi,

> 
> Ben, il est installé par défaut sur beaucoup, beaucoup de machines
> 

Rappel que l'article (en anglais) de RedHat est assez bien fait sur le sujet : 
https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulnerabilities

TL;DR, traduction vite faite.


> 
> L’exploitation de ces vulnérabilités est possible par la chaîne d’événements 
> suivante :
> 
> 1. Le service cups-browsed a été activé ou démarré manuellement
> 
> 2. Un attaquant a accès à un serveur vulnérable, qui
> 
>     1. est exposé sur un réseau non restreint, comme Internet ; ou
> 
>     2. a accès à un réseau où les connexions locales sont de confiance [mDNS, 
> ndt]
> 
> 3. L’attaquant annonce un serveur IPP malveillant, provisionnant ainsi une 
> imprimante malveillante
> 
> 4. Une victime potentielle tente d’imprimer vers la fausse imprimante
> 
> 5. L’attaquant exécute du code arbitraire sur la machine de la victime
> 

Quand on dit "beaucoup, beaucoup de machines", déjà la majorité des distro 
serveur ne le livrent pas par défaut (vérifié pour RHEL, Debian et Ubuntu). Ça 
retire un très gros paquet de machines.

Il faut aussi que l'attaquant ait accès à un serveur exposé. Ça retire encore 
un paquet de bécanes si vous ne faites pas comme les 75k idiots qui exposent 
leurs serveurs d'impression sur Internet.

Quand aux distros desktop, elles ont dans leur grande majorité un FW entre 
elles et l'attaquant.

Par ailleurs, l'article de Canonical sur le sujet permet de clarifier un point 
essentiel.
https://ubuntu.com/blog/cups-remote-code-execution-vulnerability-fix-available


> 
> La chaine de compromission n'est pas terminée tant qu'aucune impression n'est 
> effectuée ; si vous n'imprimez jamais aucune commande ne sera exécutée, même 
> si vous êtes vulnérable et qu'un attaquant a tenté une exploitation.
> 


Autant dire que la probabilité que ça arrive passe de "Tous aux abris" à "FUD".

Bien entendu il faudra patcher (tout le monde a ses procédures pour ça, hein ? 
🙃), mais m'est avis que la CVE-2024-6387 était *beaucoup* plus critique en 
terme d'exposition et de dégât potentiel que celle-ci.

My 2 cents.

Louis
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/

Répondre à