办公用户一般不大可能暴露在公网

【 在 Dazzy 的大作中提到: 】
: 如题。
: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177
: 由于CUPS在很多发行版都是默认安装启用的，影响范围很广。最受影响的应该是办公局域网用户。
: ...................
--
FROM 180.172.1.*

对啊。我看了一眼 openSUSE Leap，也是 root 身份。

【 在 Dazzy 的大作中提到: 】
: 但会暴露在局域网，很可能使用打印业务。不及时处理，很容易再来个震荡波冲击波。
: 某些发行版的CUPS服务，还是root身份的。
--
FROM 59.61.197.*

其实说起来，这些发行版也够sb的，为啥要默认开启CUPS呢，
难道你把自己定位成办公OS了不成？
【 在 Dazzy 的大作中提到: 】
: 如题。
: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177
: 由于CUPS在很多发行版都是默认安装启用的，影响范围很广。最受影响的应该是办公局域网用户。
: ...................
--
FROM 210.254.36.*

默认情况下，cups只侦听localhost，黑客得能登录到你的服务器上才能使用漏洞
当然，这也给了普通用户提权的机会

cups应该是类似于是xwindows通用的图形绘制接口一样，是通用的打印接口。

【 在 hyoga 的大作中提到: 】
: 其实说起来，这些发行版也够sb的，为啥要默认开启CUPS呢，
: 难道你把自己定位成办公OS了不成？
--
FROM 119.139.199.*

是cups-browsed服务，不是cups服务

而且他是作为客户端去扫描的

这个脚本会在[evil-ipp-server-ip]上启动一个恶意的IPP服务器，并向目标机器
[target-ip]上的Cups-Browsed服务发送一个UDP数据包。

一旦Cups-Browsed接收到请求，它将尝试连接到恶意的IPP服务器并。IPP服务器会返回精
心构造的printer-privacy-policy-uri属性，该属性中包含恶意payloa

然后，Cups-Browsed会在/tmp/目录下创建一个临时PPD文件，我们的payload会被注入到
这个文件中。

打印任务可能来自于正常用户，也可以来自攻击者。如果TCP 631端口开发，我们可以使
用浏览器访问，并找到刚才增加的恶意IPP打印机，并创建一个“打印测试页面”的打印
任务。


所以前提条件是：
1、cups-browsed服务启动
2、cups服务被外部访问，然后黑客使用恶意添加的IPP打印机打印文件
或者
黑客登录到目标服务器，访问cups服务，打印文件



【 在 Dazzy 的大作中提到: 】
: 这个CVE发现，侦听的是0.0.0.0，不是localhost。它要发现网络上的其它打印机。然
: 后对侦听到的数据包检查处理出问题了。
: #发自zSMTH@Redmi Note 11
--
修改:iwannabe FROM 119.139.199.*
FROM 119.139.199.*