Alert!

CUPS: Sicherheitslücke in Drucksystem ermöglicht Schadcodeausführung

Im Drucksystem CUPS können Angreifer im Netz eine Sicherheitslücke missbrauchen, um beliebigen Code einzuschmuggeln und auszuführen.

In Pocket speichern vorlesen Druckansicht 23 Kommentare lesen

(Bild: FabrikaSimf/Shutterstock.com)

Lesezeit: 2 Min.
Von

Das CUPS-Drucksystem ist von einer Schwachstelle betroffen, die Angreifern mit Netzwerkzugriff auf den Druckdienst das Einschleusen und Ausführen von Schadcode ermöglicht. Eine aktualisierte Version des cups-filter-Pakets soll das Problem beseitigen. Mehrere Linux-Distributionen liefern bereits jetzt aktualisierte Pakete aus.

Diese Zugriffsrechte, die für einen Angriff nötig sind, besitzen im Regelfall alle Nutzer im lokalen Netz. Das cups-filter-Paket enthält Backends, Filter und weitere Software, die nötig ist, um CUPS auf anderen System als macOS zum Laufen zu bringen, erklärt der Fehlerbericht. Sofern ein Drucker, der aus dem Netz erreichbar sein soll, mit dem Backend Error Handler (beh) angelegt wird, öffne das die Sicherheitslücke (CVE-2023-24805, CVSS 8.8, Risiko "hoch").

Die Ursache ist eine unzureichende Filterung von übergebenen Parametern, die an das Betriebssystem durchgereicht werden. CUPS-Nutzer sollen daher die Software aktualisieren. Ist das noch nicht möglich, sollten sie den Zugriff auf derartige Printserver beschränken.

Der Backend Error Handler (beh) soll die Fehlerbehandlung von CUPS verbessern. Im Linux-Foundation-Wiki beschreibt ein Autor dazu, dass nach einem Kommunikationsfehler zwischen Drucker und CUPS-Backend normalerweise die Druckerwarteschlange deaktiviert wird. Das passiert etwa dann, wenn Nutzer einen Druckauftrag absetzen, der Drucker aber noch ausgeschaltet ist – im Heimbereich ein eher übliches Problem. Die Nutzer sehen keine Rückmeldungen, nur nachhaltig nicht funktionierende Drucker. Nur Administrator kann die Druckerwarteschlange wieder aktivieren, etwa Neustarts helfen nicht. Der Backend Error Handler kann dem vorbeugen, indem er etwa die Druckerwarteschlange einfach nicht deaktiviert.

Debian und Fedora liefern bereits aktualisierte cups-filter-Pakete aus. Weitere Distributionen dürften in Kürze folgen. IT-Verantwortliche sollten die Software-Verwaltung des Systems starten, nach den Updates suchen und diese installieren lassen.

(dmk)