BDU:2024-07645
АО "НППКТ", ООО «НЦПР», Сообщество свободного программного обеспечения, АО «НТЦ ИТ РОСА», ООО «РусБИ Astra Linux Special Edition для «Эльбрус», libppd, Astra Linux Special Edition, ОСОН ОСнова Оnyx, ОС
2024-09-26
Уязвимость функции ppdCreatePPDFromIPP2 библиотеки libppd сервера печати CUPS связана с непринятием мер по нейтрализации специальных элементов, используемых в команде ОС. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, записывать произвольные данные в итоговый PPD-файл
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Компенсирующие меры: - блокирование UDP-пакетов, поступающих на порт 631 для предотвращения попыток подключения к серверу печати CUPS; - отключение и удаление службы libppd; - использование средств межсетевого экранирования для ограничения удалённого доступа к серверу печати CUPS; - использование «белого» списка IP-адресов для ограничения доступа к серверу печати CUPS.
Обновление программного обеспечения до актуальной версии.
Использование рекомендаций:
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-47175
Для Astra Linux Special Edition 1.6 «Смоленск»:: обновить пакет cups до 2.2.13-1astra.se35 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM: обновить пакет cups до 2.3.3op2-4astra.se37 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для ОС Astra Linux: обновить пакет cups до 2.3.3op2-4astra.se34+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-1108SE17MD
Для ОС Astra Linux: обновить пакет cups до 2.2.13-1astra.se35 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81
Для ОС Astra Linux: - обновить пакет libppd до 2:2.0.0-1astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD - обновить пакет cups до 2.4.10-1astra.se5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Обновление программного обеспечения cups до версии 2.4.10-2osnova2u1
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2794
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2838
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9470?lang=ru
Для ОС Аврора: https://cve.omp.ru/bb30515