Debian-Sicherheitsankündigung

cupsys -- Entfernter Missbrauch von Druckern

Datum des Berichts:

19. Nov 2000

Betroffene Pakete:

cupsys
cupsys-bsd
libcupsys1
libcupsys1-dev

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.

Weitere Informationen:

Mandrake hat kürzlich ein Sicherheitsgutachten über CUPS veröffentlicht, das zwei Probleme aufwarf:

CUPS sendet Broadcast-Pakete, die dial-on-demand Verbindungen aufrecht erhalten können und andererseits Netzwerk-Administratoren irritieren können.
CUPS hat ein eher vages Problem mit den Auswirkungen, »jeder im Internet kann Ihren Drucker erreichen«.

Das erste Problem ist weder ein Problem in Debians Potato (2.2) noch in Woody (unstable). Unsere cupsys-Pakete werden mit standardmäßig abgedrehtem browsing ausgeliefert.

Das zweite Problem hängt mit der Konfiguration von CUPS zusammen. CUPS führt die Zugriffskontrolle in ähnlicher Art wie Apache durch, und es ist standardmäßig in ähnlicher Art zu Apache konfiguriert. Dies ist nicht sonderlich passend im Fall, dass Personen gestattet werden soll, auf Drucker zuzugreifen. Administrative Aufgaben sind trotzdem nicht erlaubt, aber Internet-Benutzer könnten (zum Beispiel) alles Papier aus ihrem Drucker laufen lassen. Debian, wie es in Potato und Woody verteilt wird, ist für dieses zweite Problem verwundbar.

Das Problem lässt sich einfach dadurch beheben, indem Sie die Zugriffskontrolle so konfigurieren, wie Sie sie tatsächlich benötigen, was in /etc/cups/cupsd.conf passiert. Dies kann mit dem aktuellen Paket geschehen (sowohl in Potato als auch in Woody).

Dies wurde in Version 1.0.4-8 (oder 1.1.4-2 für unstable) behoben und wir empfehlen, dass Sie Ihre cupsys-Pakete unverzüglich aktualisieren.

Behoben in:

Debian 2.2 (potato)

Quellcode:: http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4-8.diff.gz; http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4-8.dsc; http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/cupsys-bsd_1.0.4-8_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/cupsys_1.0.4-8_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/libcupsys1-dev_1.0.4-8_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/libcupsys1_1.0.4-8_alpha.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/cupsys-bsd_1.0.4-8_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/cupsys_1.0.4-8_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/libcupsys1-dev_1.0.4-8_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/libcupsys1_1.0.4-8_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/cupsys-bsd_1.0.4-8_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/cupsys_1.0.4-8_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/libcupsys1-dev_1.0.4-8_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/libcupsys1_1.0.4-8_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/cupsys-bsd_1.0.4-8_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/cupsys_1.0.4-8_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/libcupsys1-dev_1.0.4-8_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/libcupsys1_1.0.4-8_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/cupsys-bsd_1.0.4-8_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/cupsys_1.0.4-8_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/libcupsys1-dev_1.0.4-8_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/libcupsys1_1.0.4-8_sparc.deb