{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"OpenPrinting cups-browsed toutes versions","product":{"name":"cups-browsed","vendor":{"name":"OpenPrinting","scada":false}}},{"description":"OpenPrinting libcupsfilters toutes versions","product":{"name":"libcupsfilters","vendor":{"name":"OpenPrinting","scada":false}}},{"description":"OpenPrinting libppd toutes versions","product":{"name":"libppd","vendor":{"name":"OpenPrinting","scada":false}}},{"description":"OpenPrinting cups-filter toutes versions","product":{"name":"cups-filter","vendor":{"name":"OpenPrinting","scada":false}}}],"affected_systems_content":"","closed_at":"2024-11-21","content":"## Solutions\n\n<span class=\"important-content\">**[Mise \u00e0 jour du 01 octobre 2024]**</span>\n\nDes correctifs sont disponibles pour certaines distributions. (cf. section Documentation)\n\n## Mesures de contournement\n\n<span class=\"important-content\">**[Mise \u00e0 jour du 01 octobre 2024]**</span>\n\n<span class=\"important-content\">Pour les distributions n'ayant pas de correctif disponible</span>, le CERT-FR recommande\u00a0:\n<ul>\n \t<li>de d\u00e9sactiver le service cups-browsed si celui-ci est install\u00e9. Les commandes suivantes permettent par exemple d'arr\u00eater puis de d\u00e9sactiver le service pour les syst\u00e8mes utilisant systemd : <br><pre>sudo systemctl stop cups-browsed\nsudo systemctl disable cups-browsed </pre></li>\n\t<li>si la d\u00e9sactivation du service n'est pas envisageable, il est possible de modifier le fichier de configuration de cups-browsed, g\u00e9n\u00e9ralement situ\u00e9 dans <code>/etc/cups/cups-browsed.conf</code> en rempla\u00e7ant la ligne <code>BrowseRemoteProtocols dnssd cups</code> par <code>BrowseRemoteProtocols none</code>;</li>\n \t<li>de limiter l'acc\u00e8s au port 631 sur UDP et plus g\u00e9n\u00e9ralement de mettre en place des m\u00e9canismes de filtrage r\u00e9seau utilisant des listes d'autorisation.</li>\n\t</ul>\nEn l'\u00e9tat des connaissances actuelles, si le service cups-browsed est inaccessible, l'attaquant ne peut pas ajouter une imprimante malveillante \u00e0 l'insu de l'utilisateur, ce qui bloque la cha\u00eene d'exploitation.\n","cves":[{"name":"CVE-2024-47176","url":"https://www.cve.org/CVERecord?id=CVE-2024-47176"},{"name":"CVE-2024-47076","url":"https://www.cve.org/CVERecord?id=CVE-2024-47076"},{"name":"CVE-2024-47175","url":"https://www.cve.org/CVERecord?id=CVE-2024-47175"},{"name":"CVE-2024-47177","url":"https://www.cve.org/CVERecord?id=CVE-2024-47177"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu USN-7043-1","url":"https://ubuntu.com/security/notices/USN-7043-1"},{"title":"Bulletin de s\u00e9curit\u00e9 Ubuntu USN-7042-1","url":"https://ubuntu.com/security/notices/USN-7042-1"},{"title":"Billet de blogue Elastic Security Labs du 28 septembre 2024","url":"https://www.elastic.co/security-labs/cups-overflow"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DLA-3905-1","url":"https://security-tracker.debian.org/tracker/DLA-3905-1"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-5778-1","url":"https://security-tracker.debian.org/tracker/DSA-5778-1"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat RHSB-2024-002","url":"https://access.redhat.com/security/vulnerabilities/RHSB-2024-002"},{"title":"Base de connaissance SUSE 000021571","url":"https://www.suse.com/support/kb/doc/?id=000021571"}],"reference":"CERTFR-2024-ALE-012","revisions":[{"description":"Version initiale","revision_date":"2024-09-27T00:00:00.000000"},{"description":"Ajout de publications d'avis \u00e9diteur","revision_date":"2024-10-01T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2024-11-21T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"<span class=\"important-content\">**[Mise \u00e0 jour du 10 octobre 2024]**</span>\n\nLe 28 septembre 2024, Elastic Security Labs a publi\u00e9 des r\u00e8gles de d\u00e9tection au format propri\u00e9taire de l'\u00e9diteur (cf. section Documentation), qui sont confirm\u00e9es par les analyses du CERT-FR pour la d\u00e9tection des attaques connues.\n\n**[Publication initiale]**\n\nDe multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans OpenPrinting CUPS et dans le composant cups-browsed. Celui-ci permet notamment de d\u00e9couvrir automatiquement des imprimantes partag\u00e9es sur le r\u00e9seau. \n\n\n\nAu total, quatre vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es. Elles permettent : \n\n- de r\u00e9cup\u00e9rer des informations sur le syst\u00e8me d'information de la victime;\n- d'ajouter automatiquement sur le syst\u00e8me une nouvelle imprimante, voire de remplacer une imprimante existante;\n- d'ex\u00e9cuter du code arbitraire \u00e0 distance, lorsque l'utilisateur lance une t\u00e2che d'impression sur l'imprimante ajout\u00e9e pr\u00e9c\u00e9demment.\n\n\n Le CERT-FR a connaissance de codes d'exploitation publics mais pas encore de cas d'exploitation active.","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9s affectant OpenPrinting CUPS","vendor_advisories":[]}