红帽对 OpenPrinting CUPS 安全漏洞 CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 和 CVE-2024-47177 的响应

TL;DR: Red Hat Enterprise Linux (RHEL) 的所有版本都会受到 CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 和 CVE-2024-47177 的影响，但如果使用这些系统的默认设置，则不存在因为这些 CVE 而造成的安全弱点。

红帽已获知，在 OpenPrinting CUPS 中存在一组安全漏洞（CVE-2024-47076、CVE-2024-47175、CVE-2024-47176 和 CVE-2024-47177）。OpenPrinting CUPS 是一个在包括 RHEL 在内的大多数现代 Linux 发行版本中使用的流行的开源打印系统。具体来说，CUPS 为 Linux 提供了一组用于管理、发现和共享打印机的工具。通过将这组漏洞组合在一起，攻击者可以实现远程代码执行，进而可能导致敏感数据被盗、关键生产系统受损等问题。

红帽将这些问题的严重性影响等级评定为“重要（Important）”。 虽然所有版本的 RHEL 都会受到影响，但受影响的软件包在其默认配置下，并不存在因这些安全漏洞所造成的安全弱点。到目前为止，有 4 个与这类安全漏洞相关的 CVE，但随着与上游社区和研究人员的协调进展，具体数量可能会有所变化。

利用安全漏洞进行攻击

通过以下一系列事件，可以利用这些漏洞进行安全攻击：

1. cups-browsed 服务被手动启用或启动
2. 攻击者可以访问存在漏洞的服务器，该服务器：
   1. 允许不受限制的访问，例如使用公共互联网，或
   2. 可以访问信任本地连接的内部网络
3. 攻击者广告一个恶意的 IPP 服务器（提供一个恶意的打印机）
4. 潜在受害者尝试使用这个恶意打印设备进行打印
5. 攻击者在受害者的机器上执行任意代码

检测

红帽客户应使用以下命令来检查是否在运行 cups-browsed：

$ sudo systemctl status cups-browsed

如果结果包括 “Active: inactive (dead)”，则代表相关的漏洞链并不存在，系统不存在因这些安全漏洞所造成的安全弱点

如果结果为 “running” or “enabled,”，且在配置文件 /etc/cups/cups-browsed.conf 的“BrowseRemoteProtocols”指令中包含“cups”值，则代表系统存在安全漏洞。

缓解方案

简单地运行两个命令就可以缓解这些漏洞，特别是在不需要打印的环境中。

要停止正在运行的 cups-browsed 服务，管理员应使用以下命令：

$ sudo  systemctl stop cups-browsed

使用以下命令还可以防止 cups-browsed 服务在系统重启时被启动：

$ sudo systemctl disable cups-browsed

目前，红帽和其他 Linux 社区正在开发可以解决这个问题的补丁。

致谢

红帽借此感谢 Simone “EvilSocket” Margaritelli 发现并报告了这些漏洞，以及 Till Kamppeter (OpenPrinting) 提供的额外协调支持。

更多信息

Red Hat Security Bulletin