Leute in Linux-Kreisen Ich fange an, mir Sorgen zu machen diese Woche.
Am Montag behauptete die italienische Programmiererin Simone Margaritelli, die unter dem Namen @evilsocket bekannt ist, dass dies der Fall sei Nicht authentifizierte Remotecodeausführung (RCE). mit einem Common Vulnerability Scoring System (CVSS)-Score von 9,9, der auf allen Linux-Systemen verwendet werden kann.
Außerdem: 5 Linux-Terminal-Apps, die besser sind als Ihre Standard-Apps – und die kostenlos installiert werden können
Für diejenigen, die keine Sicherheitsexperten sind, ist ein Wert von 9,9 eine schlechte Note. Was Margaritelli jedoch nicht erwähnt, ist, dass standardmäßig fast kein gut gesichertes System über eine Schwachstelle angegriffen werden kann.
Denken Sie daran, ich sagte „richtig gesichert“. Es scheint, dass viele – Hunderttausende sogar – nicht ordnungsgemäß verschlossen waren. Als Margaritelli in einem Blogbeitrag schreiben„Seit Wochen scanne ich mehrmals täglich den gesamten IPv4-Bereich des öffentlichen Internets, sende UDP-Pakete und protokolliere alles, was eine Verbindung herstellt. Und ich habe Verbindungen von Hunderttausenden Geräten wiederhergestellt.“
Außerdem: Rust jetzt unter Linux: Fortschritte, Fallstricke und warum Entwickler und Betreuer einander brauchen
Lassen Sie mich zunächst erklären, dass das Problem nicht bei Linux selbst liegt. Das ist mit Öffnen Sie „CUPS drucken“. Druckprogramm. CUPS ist ein Open-Source-System, das verwendet Internet Printing Protocol (IPP) zum Verwalten von Druckern, Druckanfragen und Druckwarteschlangen. Wenn es installiert und ausgeführt wird, kann der Computer als Druckserver fungieren.
Wie Margaritelli erklärt, besteht das Problem darin, dass bei richtiger Ausnutzung „ein nicht authentifizierter Remote-Angreifer stillschweigend die IPP-URL eines vorhandenen Druckers (oder eine neue installieren) durch eine bösartige IPP-URL ersetzen kann, was zur Ausführung willkürlicher Befehle (auf dem Drucker) führt.“ Computer), wenn der Auftrag gedruckt wird (von diesem Computer aus).“
Außerdem: Linux- und Open-Source-Dokumentation ist ein Chaos: Hier ist die Lösung
Darin CUPS-Sicherheitsbulletin, Roter Hut erklärt, dass für die Nutzung folgende Bedingungen erfüllt sein müssen:
-
Der Cup-Browsing-Dienst wurde aktiviert oder manuell gestartet.
-
Der Angreifer hatte Zugriff auf den anfälligen Server, der:
-
Ermöglicht uneingeschränkten Zugriff, z. B. öffentliches Internet oder
-
Erhalten Sie Zugriff auf das interne Netzwerk, in dem die lokale Verbindung vertrauenswürdig ist
-
Angreifer bewerben bösartige IPP-Server und stellen so bösartige Drucker bereit
-
Das potenzielle Opfer versucht, von einem bösartigen Gerät aus zu drucken
-
Der Angreifer führt beliebigen Code auf dem Computer des Opfers aus
Wo soll ich anfangen? Erstens: Wer stellt bei klarem Verstand einen Computer mit uneingeschränktem Zugang ins Internet?
Ich bin auch neugierig, warum ein solcher Computer einer lokalen Verbindung vertrauen würde. Vergessen Sie CUPS; Dies erfordert lediglich, dass Ihr Server und alles in Ihrem Netzwerk gehackt wird.
Außerdem: So führen Sie Windows-Apps unter Linux mit Wine aus
Dies ist kein 9,9-Problem. Red Hat und alle anderen Linux-Distributionen, die diese Sicherheitslücken beheben, stufen sie als kritisch ein. Die einzelnen CVSS-CVE-Werte der vier Fehler lagen zwischen 6,1 und 8,2.
Seperti Ilkka Turunen, perusanaan rantai surapa Sumber terbuka Geben Sie Sona einField CTO, schrieb auf LinkedIn: „Die gute Nachricht: Es handelt sich um RCE, allerdings mit einigen AbhilfemaßnahmenDazu gehört auch die Tatsache, dass der Angreifer über UDP eine Verbindung zum Computer herstellen können muss, was viele beim Netzwerkeintritt deaktivieren und dieser Dienst normalerweise nicht standardmäßig aktiviert ist. Es scheint, dass die Auswirkungen in der realen Welt gering sind.“
Klingt für mich fair.
Dies ist ein klassisches Beispiel für einen Dienst, der seine Eingaben nicht validiert oder bereinigt. Ein klassisches Cartoon-Beispiel für diese Art der Ausbeutung ist Kleiner Bobby-Tisch. Es werden Anstrengungen unternommen, diese Art von Exploit in CUPS zu stoppen, ein endgültiger Patch wurde jedoch noch nicht geschrieben.
Wie Margaritelli sagte, ist der CUPS-Code selbst ein Chaos. Es muss wirklich gereinigt und repariert werden. Margaritelli berichtet, dass viele Programmierer, die an CUPS beteiligt waren, sich den Versuchen widersetzten, auf Fehler hinzuweisen (geschweige denn, sie zu beheben).
Das ist nicht cool, Leute. Überhaupt nicht cool.
So erkennen Sie, ob Sie CUPS verwenden
Die Lösung besteht vorerst darin, zu prüfen, ob Sie CUPS mit einem Befehl wie dem folgenden ausführen:
$ sudo systemctl cup-explored-Status
Wenn es nicht läuft, sind Sie fertig. Spielt keine Rolle.
Wenn ja und Ihr Computer nicht als Druckserver benötigt wird, führen Sie Folgendes aus:
$ sudo systemctl hört auf, Tassen zu erkunden
Das wird das Problem stoppen. Führen Sie Folgendes aus, um zu verhindern, dass es erneut startet:
$ sudo systemctl deaktiviert das Cup-Browsing
Wenn Sie schon dabei sind: Wenn Sie einen Server im Internet haben, der völlig leer läuft, hören Sie damit auf! Richten Sie eine Firewall ein und blockieren Sie insbesondere den externen Datenverkehr zu Port 631, dem Standard-IPP-Port.
Nehmen wir an, Sie haben einen ausgelasteten Druckserver hinter einer Firewall. Sind Sie über den Berg? Nein, das tust du nicht. Jemand in Ihrem lokalen Netzwerk, der zum Drucken von Dokumenten auf Port 631 zugreifen muss, könnte den Server angreifen.
Plus: Die versteckten KI-Tools von Google verwandeln Ihre Texte in hyperreale Podcasts – kostenlos
In diesem Fall müssen Sie die Datei /etc/cups/cups-browsed.conf bearbeiten. Insbesondere sollten Sie den Standardwert der BrowserRemoteProtocols-Anweisung „dnssd cups“ auf „none“ setzen. Starten Sie dann den Cup-Browsing-Dienst mit dem folgenden Befehl neu:
$ sudo systemctl erkundete Tassen neu starten
Machen Sie keinen Fehler: Auch wenn ein Patch verfügbar ist, müssen Sie ihn so schnell wie möglich patchen. Aber wirklich, solange Sie nichts Dummes tun, indem Sie Ihren Linux-Computer ohne Firewall ins Internet stellen, ist alles in Ordnung.
