Salut,
Au cas ou vous seriez passé à coté, de l'astreinte peut être à prévoir le 30 sept et le 6 oct.
https://securite.developpez.com/actu/363159/Grave-faille-RCE-non-authentifie...
https://sredevops.org/en/linux-could-be-facing-a-critical-rce-vulnerability-...
https://x.com/evilsocket/status/1839361276813902240
------------------------------------------------------------------------ *From:* Pierre De Paepe [mailto:pdepaepe@gmail.com] *Sent:* Thursday, September 26, 2024 at 8:38 PM *To:* French SysAdmin Group frsag@frsag.org *Subject:* [FRsAG] CVE 9.9
Salut,
Au cas ou vous seriez passé à coté, de l'astreinte peut être à prévoir le 30 sept et le 6 oct.
https://securite.developpez.com/actu/363159/Grave-faille-RCE-non-authentifie...
https://sredevops.org/en/linux-could-be-facing-a-critical-rce-vulnerability-...
-- *Pierre De Paepe*
Liste de diffusion du %(real_name)s http://www.frsag.org/
Oups…
https://github.com/OpenPrinting/cups-browsed/issues/36
Le 26/09/2024 à 20:43, soltani@imad.fr a écrit :
https://x.com/evilsocket/status/1839361276813902240
*From:* Pierre De Paepe [mailto:pdepaepe@gmail.com] *Sent:* Thursday, September 26, 2024 at 8:38 PM *To:* French SysAdmin Group frsag@frsag.org *Subject:* [FRsAG] CVE 9.9
Salut,
Au cas ou vous seriez passé à coté, de l'astreinte peut être à prévoir le 30 sept et le 6 oct.
https://securite.developpez.com/actu/363159/Grave-faille-RCE-non-authentifie...
https://sredevops.org/en/linux-could-be-facing-a-critical-rce-vulnerability-...
-- *Pierre De Paepe*
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
FUD
Le 26/09/2024 à 21:21, list--- via FRsAG a écrit :
Oups…
https://github.com/OpenPrinting/cups-browsed/issues/36
Le 26/09/2024 à 20:43, soltani@imad.fr a écrit :
https://x.com/evilsocket/status/1839361276813902240
*From:* Pierre De Paepe [mailto:pdepaepe@gmail.com] *Sent:* Thursday, September 26, 2024 at 8:38 PM *To:* French SysAdmin Group frsag@frsag.org *Subject:* [FRsAG] CVE 9.9
Salut,
Au cas ou vous seriez passé à coté, de l'astreinte peut être à prévoir le 30 sept et le 6 oct.
https://securite.developpez.com/actu/363159/Grave-faille-RCE-non-authentifie...
https://sredevops.org/en/linux-could-be-facing-a-critical-rce-vulnerability-...
-- *Pierre De Paepe*
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I...
------------------------------------------------------------------------ *From:* Laurent Barme [mailto:2551@barme.fr] *Sent:* Thursday, September 26, 2024 at 9:49 PM *To:* frsag@frsag.org *Subject:* [FRsAG] Re: CVE 9.9
FUD
Le 26/09/2024 à 21:21, list--- via FRsAG a écrit :
Oups…
https://github.com/OpenPrinting/cups-browsed/issues/36
Le 26/09/2024 à 20:43, soltani@imad.fr a écrit :
https://x.com/evilsocket/status/1839361276813902240
*From:* Pierre De Paepe [mailto:pdepaepe@gmail.com] *Sent:* Thursday, September 26, 2024 at 8:38 PM *To:* French SysAdmin Group frsag@frsag.org *Subject:* [FRsAG] CVE 9.9
Salut,
Au cas ou vous seriez passé à coté, de l'astreinte peut être à prévoir le 30 sept et le 6 oct.
https://securite.developpez.com/actu/363159/Grave-faille-RCE-non-authentifie...
https://sredevops.org/en/linux-could-be-facing-a-critical-rce-vulnerability-...
-- *Pierre De Paepe*
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
non je penses pas que ca soit du FUD : https://github.com/OpenPrinting/cups-browsed/issues/36
On Thu, Sep 26, 2024 at 10:05 PM soltani@imad.fr wrote:
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I...
*From:* Laurent Barme [mailto:2551@barme.fr] *Sent:* Thursday, September 26, 2024 at 9:49 PM *To:* frsag@frsag.org *Subject:* [FRsAG] Re: CVE 9.9
FUD
Le 26/09/2024 à 21:21, list--- via FRsAG a écrit :
Oups…
https://github.com/OpenPrinting/cups-browsed/issues/36
Le 26/09/2024 à 20:43, soltani@imad.fr a écrit :
https://x.com/evilsocket/status/1839361276813902240
*From:* Pierre De Paepe [mailto:pdepaepe@gmail.com] *Sent:* Thursday, September 26, 2024 at 8:38 PM *To:* French SysAdmin Group frsag@frsag.org *Subject:* [FRsAG] CVE 9.9
Salut,
Au cas ou vous seriez passé à coté, de l'astreinte peut être à prévoir le 30 sept et le 6 oct.
https://securite.developpez.com/actu/363159/Grave-faille-RCE-non-authentifie...
https://sredevops.org/en/linux-could-be-facing-a-critical-rce-vulnerability-...
-- *Pierre De Paepe*
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Merci pour ce lien qui contient enfin une information exploitable, On y trouve, dans la section " Remediation" :
# Disable and remove the |cups-browsed| service if you don’t need it (and probably you don’t).
Et donc encore faut-il avoir installé cups-browsed pour se sentir concerné ?
Le 26/09/2024 à 22:03, soltani@imad.fr a écrit :
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I...
*From:* Laurent Barme [mailto:2551@barme.fr] *Sent:* Thursday, September 26, 2024 at 9:49 PM *To:* frsag@frsag.org *Subject:* [FRsAG] Re: CVE 9.9
FUD
Le 26/09/2024 à 21:21, list--- via FRsAG a écrit :
Oups…
https://github.com/OpenPrinting/cups-browsed/issues/36
Le 26/09/2024 à 20:43, soltani@imad.fr a écrit :
https://x.com/evilsocket/status/1839361276813902240
*From:* Pierre De Paepe [mailto:pdepaepe@gmail.com] *Sent:* Thursday, September 26, 2024 at 8:38 PM *To:* French SysAdmin Group frsag@frsag.org *Subject:* [FRsAG] CVE 9.9
Salut,
Au cas ou vous seriez passé à coté, de l'astreinte peut être à prévoir le 30 sept et le 6 oct.
https://securite.developpez.com/actu/363159/Grave-faille-RCE-non-authentifie...
https://sredevops.org/en/linux-could-be-facing-a-critical-rce-vulnerability-...
-- *Pierre De Paepe*
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Ben, il est installé par défaut sur beaucoup, beaucoup de machines
Le 2024-09-26 22:13, Laurent Barme a écrit :
Merci pour ce lien qui contient enfin une information exploitable, On y trouve, dans la section " Remediation" :
- Disable and remove the cups-browsed service if you don’t need it
(and probably you don’t).
Et donc encore faut-il avoir installé cups-browsed pour se sentir concerné ? Le 26/09/2024 à 22:03, soltani@imad.fr a écrit :
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I...
*From:* Laurent Barme [mailto:2551@barme.fr] *Sent:* Thursday, September 26, 2024 at 9:49 PM *To:* frsag@frsag.org *Subject:* [FRsAG] Re: CVE 9.9
FUD
Le 26/09/2024 à 21:21, list--- via FRsAG a écrit : Oups…
https://github.com/OpenPrinting/cups-browsed/issues/36
Le 26/09/2024 à 20:43, soltani@imad.fr a écrit :
*From:* Pierre De Paepe [mailto:pdepaepe@gmail.com] *Sent:* Thursday, September 26, 2024 at 8:38 PM *To:* French SysAdmin Group frsag@frsag.org *Subject:* [FRsAG] CVE 9.9
Salut,
Au cas ou vous seriez passé à coté, de l'astreinte peut être à prévoir le 30 sept et le 6 oct.
https://securite.developpez.com/actu/363159/Grave-faille-RCE-non-authentifie...
https://sredevops.org/en/linux-could-be-facing-a-critical-rce-vulnerability-...
-- *Pierre De Paepe*
Liste de diffusion du %(real_name)s http://www.frsag.org/ _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/ _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/ _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Le jeudi 26 septembre 2024 à 22:13 +0200, Laurent Barme a écrit :
Merci pour ce lien qui contient enfin une information exploitable, On y trouve, dans la section " Remediation" : Disable and remove the cups-browsed service if you don’t need it (and probably you don’t). Et donc encore faut-il avoir installé cups-browsed pour se sentir concerné ?
On peut supposer/espérer que rares sont les machines exposées qui sont connectées à une imprimante à papier (technologie du 20ème siècle) et donc ont Cups installé ...
Niffo
il parait meme que l'espoir fait vivre
------------------------------------------------------------------------ *From:* Niffo-Whois [mailto:niffo.whois@free.fr] *Sent:* Friday, September 27, 2024 at 9:18 AM *To:* Laurent Barme 2551@barme.fr, frsag@frsag.org *Subject:* [FRsAG] Re: CVE 9.9
Le jeudi 26 septembre 2024 à 22:13 +0200, Laurent Barme a écrit :
Merci pour ce lien qui contient enfin une information exploitable, On y trouve, dans la section " Remediation" :
Disable and remove the cups-browsed service if you don’t need it (and probably you don’t). Et donc encore faut-il avoir installé cups-browsed pour se sentir concerné ?
On peut supposer/espérer que rares sont les machines exposées qui sont connectées à une imprimante à papier (technologie du 20ème siècle) et donc ont Cups installé ...
Niffo _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Le 27/09/2024 à 09:18, Niffo-Whois a écrit :
Le jeudi 26 septembre 2024 à 22:13 +0200, Laurent Barme a écrit :
Merci pour ce lien qui contient enfin une information exploitable, On y trouve, dans la section " Remediation" :
Disable and remove the cups-browsed service if you don’t need it (and probably you don’t). Et donc encore faut-il avoir installé cups-browsed pour se sentir concerné ?
On peut supposer/espérer que rares sont les machines exposées qui sont connectées à une imprimante à papier (technologie du 20ème siècle) et donc ont Cups installé ...
Niffo
Pour ce que je peux en voir sur mes machines, cups-browsed n'est pas installé automatiquement sur les serveurs (du moins pas en Debian) mais ça l'est sur un Raspberry Pi 5 Desktop !
Par contre, si on regarde de plus près le processus d'attaque :
Force the target machine to connect back to our malicious IPP server. Return an IPP attribute string that will inject controlled PPD directives to the temporary file. Wait for a print job to be sent to our fake printer for the PPD directives, and therefore the command, to be executed.
C'est le "Wait for a print job…" qui est intéressant : encore faudrait-il apparemment qu'un utilisateur choisisse d'utiliser une fausse imprimante installé ailleurs.
Ca a de bonnes chances d'être installé par défaut sur tout distrib orientée bureautique et pas sur les autres (à voir les trucs comme ubuntu server)
Mais sur un serveur normalement constitué, un petit firewall local aura déjà protégé tout le monde...
Jacques
Le 27/09/2024 à 10:22, Laurent Barme a écrit :
Le 27/09/2024 à 09:18, Niffo-Whois a écrit :
Le jeudi 26 septembre 2024 à 22:13 +0200, Laurent Barme a écrit :
Merci pour ce lien qui contient enfin une information exploitable, On y trouve, dans la section " Remediation" : Disable and remove the cups-browsed service if you don’t need it (and probably you don’t). Et donc encore faut-il avoir installé cups-browsed pour se sentir concerné ?
On peut supposer/espérer que rares sont les machines exposées qui sont connectées à une imprimante à papier (technologie du 20ème siècle) et donc ont Cups installé ...
Niffo
Pour ce que je peux en voir sur mes machines, cups-browsed n'est pas installé automatiquement sur les serveurs (du moins pas en Debian) mais ça l'est sur un Raspberry Pi 5 Desktop !
Par contre, si on regarde de plus près le processus d'attaque :
Force the target machine to connect back to our malicious IPP server. Return an IPP attribute string that will inject controlled PPD directives to the temporary file. Wait for a print job to be sent to our fake printer for the PPD directives, and therefore the command, to be executed.
C'est le "Wait for a print job…" qui est intéressant : encore faudrait-il apparemment qu'un utilisateur choisisse d'utiliser une fausse imprimante installé ailleurs. _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
-
Jacques MICHAU -
Laurent Barme -
list@garfieldairlines.net -
neo futur -
Niffo-Whois -
Pierre De Paepe -
soltani@imad.fr -
Émile TOURON