Faille RCE critique GNU/Linux

Salut,

korben a écrit :

La faille a été découverte par le chercheur en sécurité Simone Margaritelli, alias @evilsocket. Elle affecte potentiellement tous les systèmes GNU/Linux utilisant le service cups-browsed, une partie du système d’impression CUPS. Plusieurs CVE ont été assignés à cette vulnérabilité : CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 et CVE-2024-47177.

Cette vulnérabilité a été évaluée avec un score CVSS initial de 9.9 sur 10, ce qui reflète sa gravité. Le plus inquiétant dans cette histoire, c’est que la faille serait présente dans le code depuis plus d’une décennie. Pendant que vous jouiez tranquillement à Minecraft durant votre enfance, ou que vous codiez votre premier “Hello World”, cette faille était là, tapie dans l’ombre, attendant son heure.

La vulnérabilité permet à un attaquant distant non authentifié de remplacer silencieusement les URL IPP des imprimantes existantes ou d’en installer de nouvelles, ce qui peut entraîner une exécution de code arbitraire lorsque vous lancez une tâche d’impression depuis votre ordinateur. L’attaque peut être réalisée en envoyant un paquet UDP au port 631, qui est ouvert sur toutes les interfaces par défaut, ou en usurpant des annonces mDNS/zeroconf sur le réseau local.

La meilleur manière pour le moment est de stopper le service ¹. Apparemment toutes les distributions auraient ce problème ². Pour ce faire, vérifier que le service soit actif sur votre machine ³.

sudo systemctl status cups-browsed

Si c'est le cas, faites ceci :

sudo systemctl disable --now cups-browsed

Le service devrait être inactif et aussi lors du redémarrage de la machine.

Si vous avez besoin d'imprimer, démarrer le service temporairement (le temps d'un redémarrage) :

sudo systemctl start cups-browsed

Pour arrêter le service :

sudo systemctl stop cups-browsed

______
¹ en attendant le correctif
² y compris chrome OS et certaines BSD. source
³ Toutes ces commandes utilisent SytemeD. Dans le cas où la distribution utilise init.d, les commandes sont différentes.
Modifié par niuxe (27 Sep 2024 - 12:57)

Korben a écrit :
Le plus inquiétant dans cette histoire, c’est que la faille serait présente dans le code depuis plus d’une décennie.

Ce n'est pas la première fois.

On trouve toujours des fans linuxiens pour nous dire : "regardez, le libre c'est ultra sécurisé, tout le monde peut avoir accès au code source, donc la communauté est en mesure de découvrir rapidement les failles et de les rectifier."

Oui, sauf que pour cela il faut disposer de deux choses : la compétence et le temps.

Déjà, des failles critiques de sécurité du même ordre de gravité que ce qui vient d'être exposé ici, et découverte des années plus tard, c'est déjà arrivé. Et lorsqu'on voit que des failles critiques de sécurité, connues qui plus est, sont restées ouvertes durant des années sans voir l'application d'un patch on voit bien que ce n'est pas donné à tout le monde.

On a beau aimer le logiciel libre, il ne faut pas être naïf.

Salut,
ne pas être naïf, c'est un fait, et les gourous du libre le sont parfois.
Ce n'est effectivement pas la première fois qu'on découvre une faille en place depuis un certain temps. Debian en avait eu une, il y a quelques années.
Quand on trouve une faille, il y a toujours des déclarations fracassantes, et leurs auteurs ne manquent pas de faire part de leur scepticisme au sujet de ce système. Et puis, rien ne se passe. On n'entend pas parler de millions de comptes corrompus, de systèmes entiers tombés.
"cette faille était là, tapie dans l’ombre, attendant son heure."
Et elle a fait quoi de mal, cette faille, depuis ?
Je suis sous Linux depuis 25 ans et je n'en ai pas eu une seule compromission depuis. Il y a deux mois, on m'a filé un portable Packard Bell avec Windows 10 dessus. Je l'ai démarré pour voir, avant d'y mettre une Debian. Connecté au net, le système a tenu 10 minutes avant qu'il y ait des alertes de tous les côtés.
Mais il est bien vrai que la multiplication des distros de toutes sortes a fragilisé le système et rendu sa surveillance difficile. De même que les interface graphiques et autres facilités.

C'est sûr que nous, à notre niveau - cet à dire au niveau de monsieur tout le monde -, les failles critiques de style "zero-day" ne nous impactent pas trop.