Ca a de bonnes chances d'être installé par défaut sur tout distrib orientée bureautique et pas sur les autres (à voir les trucs comme ubuntu server)
Mais sur un serveur normalement constitué, un petit firewall local aura déjà protégé tout le monde...
Jacques
Le 27/09/2024 à 10:22, Laurent Barme a écrit :
Le 27/09/2024 à 09:18, Niffo-Whois a écrit :
Le jeudi 26 septembre 2024 à 22:13 +0200, Laurent Barme a écrit :
Merci pour ce lien qui contient enfin une information exploitable, On y trouve, dans la section " Remediation" : Disable and remove the cups-browsed service if you don’t need it (and probably you don’t). Et donc encore faut-il avoir installé cups-browsed pour se sentir concerné ?
On peut supposer/espérer que rares sont les machines exposées qui sont connectées à une imprimante à papier (technologie du 20ème siècle) et donc ont Cups installé ...
Niffo
Pour ce que je peux en voir sur mes machines, cups-browsed n'est pas installé automatiquement sur les serveurs (du moins pas en Debian) mais ça l'est sur un Raspberry Pi 5 Desktop !
Par contre, si on regarde de plus près le processus d'attaque :
Force the target machine to connect back to our malicious IPP server. Return an IPP attribute string that will inject controlled PPD directives to the temporary file. Wait for a print job to be sent to our fake printer for the PPD directives, and therefore the command, to be executed.
C'est le "Wait for a print job…" qui est intéressant : encore faudrait-il apparemment qu'un utilisateur choisisse d'utiliser une fausse imprimante installé ailleurs. _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/