Aviso de seguridad de Debian

cupsys -- mal uso remoto de impresora

Fecha del informe:

19 de nov de 2000

Paquetes afectados:

cupsys
cupsys-bsd
libcupsys1
libcupsys1-dev

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.

Información adicional:

Mandrake ha liberado recientemente un aviso de seguridad sobre CUPS con dos asuntos:

CUPS envía paquetes en broadcast, lo que puede hacer que se activen líneas de conexión bajo demanda y en cualquier caso irritar a los administradores de red.
CUPS tiene un problema bastante incierto referente al efecto de que "cualquier en Internet pueda dirigirse a sus impresoras".

El primer problema no es un problema en Debian potato (2.2) ni woody (inestable). Nuestros paquetes cupsys están lanzados con la navegación desactivada por defecto.

El segundo problema tiene que ver con la configuración de CUPS. CUPS hace el control de acceso de forma muy similar a Apache, y está configurado por defecto de la misma forma que Apache. Esto no es muy apropiado en el caso de que quiera permitir a la gente conectarse a sus impresoras. Las tareas administrativas aún no están permitidas, pero los usuarios de Internet podrían (por ejemplo) dejar su impresora sin papel. Debian es vulnerable a este último problema tanto en potato como en woody.

La reparación está simplemente en configurar el control de acceso para que refleje sus deseso, lo que se hace en /etc/cups/cupsd.conf. Esto puede hacerse conlos paquetes actuales (tanto en potato como en woody).

Esto ha sido reparado en la versión 1.0.4-8 (o en la 1.1.4-2 para inestable) y le recomendamos que actualice sus paquetes cupsys inmediatamente.

Arreglado en:

Debian 2.2 (potato)

Fuentes:: http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4-8.diff.gz; http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4-8.dsc; http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/cupsys-bsd_1.0.4-8_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/cupsys_1.0.4-8_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/libcupsys1-dev_1.0.4-8_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/libcupsys1_1.0.4-8_alpha.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/cupsys-bsd_1.0.4-8_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/cupsys_1.0.4-8_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/libcupsys1-dev_1.0.4-8_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/libcupsys1_1.0.4-8_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/cupsys-bsd_1.0.4-8_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/cupsys_1.0.4-8_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/libcupsys1-dev_1.0.4-8_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/libcupsys1_1.0.4-8_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/cupsys-bsd_1.0.4-8_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/cupsys_1.0.4-8_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/libcupsys1-dev_1.0.4-8_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/libcupsys1_1.0.4-8_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/cupsys-bsd_1.0.4-8_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/cupsys_1.0.4-8_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/libcupsys1-dev_1.0.4-8_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/libcupsys1_1.0.4-8_sparc.deb