Quindi, alla fine, si trattava solamente di quello che avevamo sospettato: hype.
La misteriosa vulnerabilità di tipo RCE (Remote Code Execution) che, pur vecchia di 10 anni, era stata presentata come gravissima ed ancora senza soluzione, era in realtà una problematica di CUPS, come decine se ne sentono ogni mese su qualsiasi software open-source.
Non solo, le tanto millantate CVE che avrebbero potuto essere fino a sei, in realtà sono solo 4, la più grave delle quali ha un “peso” di 8.2:
- https://access.redhat.com/security/cve/cve-2024-47076 -> 8.2
- https://access.redhat.com/security/cve/cve-2024-47175 -> 7.7
- https://access.redhat.com/security/cve/cve-2024-47176 -> 7.5
- https://access.redhat.com/security/cve/CVE-2024-47177 -> 6.1
Per carità, nulla che debba essere ignorato, ma tutto l’allarmismo ed il sensazionalismo in merito alla faccenda può essere tranquillamente giudicato quantomeno inopportuno.
In particolare perché il post ufficiale di Red Hat che presenta le CVE di cui sopra si apre così:
TL;DR: All versions of Red Hat Enterprise Linux (RHEL) are affected by CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 and CVE-2024-47177, but are not vulnerable in their default configuration
Riassunto: tutte le versioni di Red Hat Enterprise Linux (RHEL) risultano affette da CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 e CVE-2024-47177 ma non sono vulnerabili nelle loro configurazioni di defaultRipetiamo: non sono vulnerabili nelle loro configurazioni di default.
Come specifica la pagina, lo sfruttamento di queste vulnerabilità è possibile attraverso la seguente catena di eventi:
- Il servizio cups-browsed è stato abilitato o avviato manualmente (e di default in RHEL non lo è).
- Un aggressore ha accesso a un server vulnerabile, che:
- Consente l’accesso illimitato (come ad esempio Internet)
oppure - Ottiene l’accesso a una rete interna in cui tutte le connessioni locali sono considerate trusted.
quindi nella sostanza deve essere parte della rete dell’attaccato
- Consente l’accesso illimitato (come ad esempio Internet)
- L’aggressore simula l’esistenza di una stampante in rete attraverso un server IPP confezionato ad arte che viene processato dal servizio cups-browsed.
- La vittima tenta di stampare attraverso il dispositivo “finto”.
- L’aggressore esegue codice arbitrario sul computer della vittima.
Non esattamente un telnet su una porta aperta che fa diventare root su una macchina, ed una spiegazione che fa decadere ogni tipo di scenario apocalittico inizialmente prospettato.
Si tratta di un problema come un altro che, di nuovo, andrà certamente sistemato – RHEL 9 ed Ubuntu 24.04 avevano già le patch disponibili il 27 settembre.
Non solo, su sistemi in cui non fosse possibile applicare per qualsiasi ragione la patch, la remediation è semplicissima: systemctl disable --now cups-browsed.
Pareva una tempesta, ma era una pioggerellina lieve lieve, di quelle che più che preoccupazione destano fastidio. Quasi come il sensazionalismo gratuito.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
English (US)