第一时间修复CUPS高危漏洞，麒麟软件守护您的信息安全

9月25日，麒麟软件安全团队监测到影响几乎所有GNU/Linux发行版的未经身份验证的远程代码执行漏洞。监测到威胁后，第一时间组织安全专家对漏洞进行深入分析，24小时内成功复现漏洞并定位漏洞存在于操作系统的CUPS组件中。

9月26日CUPS漏洞相关细节被公开，披露情况如下:

本次CUPS安全事件揭示了多个系统组件包中存在的漏洞，这些漏洞相互关联，构成了一条可导致远程代码执行的完整攻击链。麒麟软件深入排查，发现这些漏洞已在GNU/Linux发行版中存在超过10年之久，目前暂无明确证据支持是蓄意投毒所为，但提高开源软件供应链的安全已成为业内迫在眉睫的共识。

是否对您有影响？

经验证，CUPS漏洞是在操作系统启用cups-browsed服务监听631端口接收UDP数据包时，未经身份验证的攻击者可通过构造恶意的IPP服务器诱导受害者进行配置，在此情景下，攻击者可实现在远程无交互情况下在目标操作系统上执行任意命令。

麒麟软件对漏洞进行确认，默认配置下在维护期的操作系统产品中cups-browsed服务均处于未启用状态，攻击者无法实现用户无交互的远程命令执行，故不易受攻击。

注意：当cups-browsed服务属于关闭状态，当用户手动选择配置攻击者伪造的恶意打印机进行打印工作时，也可触发cups-filters库中存在的命令注入导致远程代码执行。

组件影响域：

CVE-2024-47176：cups-browsed <= 2.0.1

CVE-2024-47076：libcupsfilters <= 2.1b1

CVE-2024-47175：libppd <= 2.1b1

CVE-2024-47177：cups-filters <= 2.0.1

如何规避影响？

临时缓解措施：

禁用cups-browsed服务（系统默认禁用），可以缓解用户无交互情况导致的远程代码执行。

$ sudo systemctl disable cups-browsed --now

禁用CUPS服务，可彻底缓解漏洞。

$ sudo systemctl disable cups --now

注意：禁用CUPS服务会导致操作系统打印机功能不可用，建议升级CUPS到安全版本解决。

更新升级方法

在监测到此漏洞信息后，麒麟软件第一时间进行漏洞分析，并推动漏洞修复，完成主线操作系统漏洞补丁制作、发布官网公告。

您可以访问以下网址，了解详细的更新升级方法并完成修复。https://www.kylinos.cn/support/loophole/patch.html

麒麟软件已经建立有高效的安全事件应急响应流程和完善IT化平台支撑，确保在发生安全事件时可以高效完成安全事件的处置，给用户提供更优质的服务。

此次CUPS安全漏洞事件处置主要过程记录：

9月25日，监测到此漏洞信息，并收到上级监管的漏洞预警通知。

9月26日，完成漏洞分析、复现，并监测到漏洞细节已公开。

9月27日，1个工作日内完成攻击过程的复现及产品横向排查。为了保障修复质量，同时也完成POC进入研发门禁系统，限制存在漏洞版本出库。

9月28日，3个工作日内完成漏洞补丁包的研制，并向工信部通报了相关的修复进展。

9月30日，5个工作日内相关主线版本完成补丁包推送外网源、发布官网公告，用户可升级CUPS组件。

麒麟软件将不断强化安全事件监测、安全事件应急响应流程与策略，通过不断提升安全事件的快速识别、高效处置与根源分析能力，进一步巩固基础软件的安全防线，为用户的系统安全保驾护航。