高分漏洞  国产操作系统补丁

在观察国产操作系统之前，还是必须先说说外面的情况。

由于漏洞信息被泄露到了黑产领域，导致发现漏洞的研究员要提前公布漏洞信息，与此同时，Red Hat 也加快了释出补丁的速度，对于 RHEL 9，在9月28日释出了补丁，而对于RHEL 8，延至10月2日也已经释出了补丁[1]。

必须注意到 RHEL 7 是受影响的，但由于生命周期已经终结，所以不会有补丁。因此，国内很多厂商之前继承于 CentOS 7 并承诺延长其生命周期的发行版，都需要通过自己的力量开发补丁。

于是，对于国产操作系统厂商来说，眼前这个 CUPS 组合式漏洞，需要同时实现三种情况的补丁：

1）当前提供主流支持的版本

2）还提供支持的继承自 RHEL/CentOS 7的版本

3）前瞻测试版本（如果有）

本文观察的重点落在情况1），读者可自行补充对情况2）和3）的观察。

观察方法既可以是信息性的：在官方网站按漏洞的 CVE 编号/产品名称等信息查找漏洞补丁说明，也可以是实践性的：观察镜像站的包更新页面是否有发布更新，或者直接运行 dnf update 之类的更新操作观察是否获取到更新。

https://mirror.cclinux.org/pub/circle/8/AppStream/x86_64/os/Packages/c/

可以观察到 Circle Linux 8 已存在更新的补丁，1.20.0-35：

cups-filters-1.20.0-35.el8_10.x86_64.rpm      02-Oct-2024 03:16 769K
cups-filters-libs-1.20.0-35.el8_10.x86_64.rpm 02-Oct-2024 03:16 136K

版本号 1.20.0-35 与 Red Hat 在 Errata 页面[2] 上发布的是一致的。

但观察 Circle Linux 9 的包分发页面，却还未找到更新。从目录的更新日期还在 2024-07-31 这一点来看，可能都还未 BUILD。只是 Circle Linux 是个比较单纯的社区发行版，不能要求太多。

从以上情况观察认为，有释出补丁但不齐。

或许有人会问，为何笔者不是先看 Rocky Linux。原因只是 Rocky Linux 不是国内发起的 RHEL 继承项目。事实上 Rocky Linux 跟得很紧，比如在 SJTU 的 Rocky Linux 9 镜像，包分发路径：

https://mirror.sjtu.edu.cn/rocky/9.4/AppStream/x86_64/os/Packages/c/

已经有了更新：

cups-filters-1.28.7-17.el9_4.x86_64.rpm      766 KiB 9/28/2024, 11:59:55 AM
cups-filters-libs-1.28.7-17.el9_4.x86_64.rpm 133 KiB 9/28/2024, 11:59:54 AM

因为 openEuler 的版本太多了，一个个看觉得甚是耗时，于是直接到其安全公告网站：

https://www.openeuler.org/zh/security/cve/

查找 cups 或者4个 CVE 编号的任一，比如 CVE-2024-47176。

结果是，当按 CUPS 查找时，最新的记录是 CVE-2024-35235，2024年6月28日，并不相关。而按本次 CUPS 漏洞涉及的四个 CVE 编号进行查找则均未返回结果。

不死心。按 openEuler 生命周期说明，当前必定在支持期内的 22.03 LTS  和 22.03 LTS SP4 两个版本找到镜像站，观察包分发路径：

https://mirror.sjtu.edu.cn/openeuler/openEuler-22.03-LTS/update/x86_64/Packages/
https://mirror.sjtu.edu.cn/openeuler/openEuler-22.03-LTS-SP4/update/x86_64/Packages/

前一个路径的 CUPS 相关更新没有2024年的，后一个页面的 CUPS 相关更新日期是2024年9月6日，显然和本次的漏洞无关。

从以上情况观察认为，尚未释出补丁。

https://anas.openanolis.cn/errata

查询关键词 CUPS，返回最新的记录是2024年8月7日发布的 CVE-2024-35235，和 openEuler 一样的信息，并不是本次漏洞的4项之一。

同样地，查询4项 CVE 编号，均无结果返回。

慎重起见，检查镜像站的包分发位置，简单点就只观察 Anolis OS 8.9 的（Anolis OS 23 属于前述的情况3，本文不涉及）：

https://mirror.nju.edu.cn/anolis/8.9/AppStream/x86_64/os/Packages/?C=M&O=A

在页面筛选 CUPS，和本次漏洞相关的软件包比如 cups-filters 和 cups-filters-libs，版本号是 1.20.0-34：

cups-filters-libs-1.20.0-34.0.1.an8.x86_64.rpm 134692 2024-07-16 11:18:32
cups-filters-1.20.0-34.0.1.an8.x86_64.rpm      730904 2024-07-16 11:18:35

也就是 RHEL 补丁的上一个版本（注意-34和-35的补丁序号区别）

从以上情况观察认为，尚未释出补丁。

Tencent OS 是继承自 RHEL 且二进制兼容。不过作为面向云用途的操作系统笔者就没有将其和 RHEL 直接等同起来看待。

刚好手头的虚机还在，于是采取直接安装 CUPS 的方法检查版本号。过程执行后，获得的 CUPS 相关包信息，关键的 cups-filters 和 cups-filters-libs 均为 1.20.0-34，同样是 RHEL 补丁的上一个版本号。

从以上情况观察认为，尚未释出补丁。

必须先吐个槽，叫麒麟的太多了。

观察 openKylin 的镜像站包发布位置：

https://mirror.sjtu.edu.cn/openkylin/pool/main/c/cups/
https://mirror.sjtu.edu.cn/openkylin/pool/main/c/cups-filters/

观察更新日期是2024年的 amd64 build 的包，日期均早于本次漏洞的发现日期，例如：

cups-filters-1.20.0-35.el8_10.x86_64.rpm      02-Oct-2024 03:16 769K
cups-filters-libs-1.20.0-35.el8_10.x86_64.rpm 02-Oct-2024 03:16 136K
0

于是再查看其安全漏洞公告页面，地址：

cups-filters-1.20.0-35.el8_10.x86_64.rpm      02-Oct-2024 03:16 769K
cups-filters-libs-1.20.0-35.el8_10.x86_64.rpm 02-Oct-2024 03:16 136K
1

最新公告是2024年3月25日。

从以上情况观察认为，尚未释出补丁。

cups-filters-1.20.0-35.el8_10.x86_64.rpm      02-Oct-2024 03:16 769K
cups-filters-libs-1.20.0-35.el8_10.x86_64.rpm 02-Oct-2024 03:16 136K
2

页面甫一打开就清晰地看到发布时间为 2024-09-30 的 CUPS 安全漏洞公告，编号从 KYSA-202409-0074 到 KYSA-202409-0079。

公告内容有直接给出软件补丁捆绑包下载地址，这挺方便不接入互联网的计算机打补丁。于是下载补丁捆绑包观察内容，可以发现是包含了如下的软件包：

版本号统一为 2.3.1-9，日期均为2024年9月30日，看来是及时补上了漏洞。

但安全公告中说明，此安全漏洞补丁公告仅适用于银河麒麟桌面操作系统。刚好笔者之前配置了麒麟服务器版本的虚机，其具体版本是：

cups-filters-1.20.0-35.el8_10.x86_64.rpm      02-Oct-2024 03:16 769K
cups-filters-libs-1.20.0-35.el8_10.x86_64.rpm 02-Oct-2024 03:16 136K
3

于是尝试通过更新获得补丁，但执行 dnf update 之后，发现安装的 CUPS 相关 RPM 包，版本只是前进到 2.2.13-21。

转向观察包发布地址：

cups-filters-1.20.0-35.el8_10.x86_64.rpm      02-Oct-2024 03:16 769K
cups-filters-libs-1.20.0-35.el8_10.x86_64.rpm 02-Oct-2024 03:16 136K
4

可以发现，2.2.13-21 这个版本的释出时间是 2024年9月19日，早于本次漏洞公告日期，因此并不是本次漏洞的补丁版本。

从以上情况观察认为，已发布安全公告，已释出桌面版操作系统的补丁，但并未释出服务器版操作系统的补丁。

cups-filters-1.20.0-35.el8_10.x86_64.rpm      02-Oct-2024 03:16 769K
cups-filters-libs-1.20.0-35.el8_10.x86_64.rpm 02-Oct-2024 03:16 136K
5

最新的安全公告条目日期为2024-09-25，CVE-2024-38517等若干项，均和 CUPS 无关。

观察镜像站，对应当前有效的 8.10 和 9.2 两个版本的地址如下：

cups-filters-1.20.0-35.el8_10.x86_64.rpm      02-Oct-2024 03:16 769K
cups-filters-libs-1.20.0-35.el8_10.x86_64.rpm 02-Oct-2024 03:16 136K
6

观察发现，8.10 地址发布的 CUPS 更新均早于本次漏洞发布日期。而 9.2 地址则在 2024年9月29日 发布了一系列的更细，版本号是 2.4.6-7 和 1.28.16-10，例如：

cups-filters-1.20.0-35.el8_10.x86_64.rpm      02-Oct-2024 03:16 769K
cups-filters-libs-1.20.0-35.el8_10.x86_64.rpm 02-Oct-2024 03:16 136K
7

鉴于公告页面没有相关信息，于是下载这些补丁包的源码 rpm 包，解开检查，下载地址：

cups-filters-1.20.0-35.el8_10.x86_64.rpm      02-Oct-2024 03:16 769K
cups-filters-libs-1.20.0-35.el8_10.x86_64.rpm 02-Oct-2024 03:16 136K
8

发现其中有补丁文件 0002-fix-CVE-2024-47076.patch，如下图：

这样看这释出的确实就是对应本次漏洞的补丁。

从以上情况观察认为，已释出补丁，但不是所有版本，且缺公告。

[1] Red Hat Customer Portal CVE-2024-47076
https://access.redhat.com/security/cve/cve-2024-47076

[2] RHSA-2024:7463 - Security Advisory
https://access.redhat.com/errata/RHSA-2024:7463

注：题头图使用豆包生成。