Bulletin d'alerte Debian

cupsys -- Usage distant non désiré de l'imprimante

Date du rapport :
19 novembre 2000
Paquets concernés :
cupsys
cupsys-bsd
libcupsys1
libcupsys1-dev
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :
Mandrake a récemment versionné un avertissement de sécurité concernant deux problèmes de CUPS :
  1. CUPS envoie des paquets de diffusion qui peuvent provoquer l'activation des lignes de connexion-sur-demande et irriter les administrateurs réseau ;
  2. CUPS a un problème avec l'effet « tout le monde sur Internet peut s'approprier vos imprimantes ».

Le premier problème n'affecte ni les versions Potato (2.2) ni Woody (instable) de Debian. Les paquets cupsys embarqués n'ont pas le mode de navigation activé par défaut.

Le second problème est en rapport avec la configuration de CUPS. CUPS effectue des contrôle d'accès à la manière d'Apache et est configuré par défaut sur le même modèle qu'Apache. Cela n'est pas des plus appropriés lorsque cette méthode permet à n'importe qui de se connecter à une imprimante. Les tâches administratives ne sont pas autorisées mais les utilisateurs en provenance d'Internet peuvent (par exemple) imprimer sur votre imprimante. Les versions embarquées dans les Debian Potato et Woody sont vulnérables à ce second problème.

La solution consiste à simplement configurer le contrôle d'accès selon vos réels besoins, ce qui peut être effectué dans /etc/cups/cupsd.conf. Cela peut être effectué dans le paquet actuel (disponible à la fois pour Potato et Woody).

Le problème a été corrigé dans la version 1.0.4-8 (ou 1.1.4-2 pour la version instable) et nous vous recommandons la mise à jour immédiate de vos paquets cupsys.

Corrigé dans :

Debian 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4-8.diff.gz
http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4-8.dsc
http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/cupsys-bsd_1.0.4-8_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/cupsys_1.0.4-8_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/libcupsys1-dev_1.0.4-8_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/libcupsys1_1.0.4-8_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/cupsys-bsd_1.0.4-8_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/cupsys_1.0.4-8_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/libcupsys1-dev_1.0.4-8_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/libcupsys1_1.0.4-8_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/cupsys-bsd_1.0.4-8_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/cupsys_1.0.4-8_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/libcupsys1-dev_1.0.4-8_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/libcupsys1_1.0.4-8_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/cupsys-bsd_1.0.4-8_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/cupsys_1.0.4-8_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/libcupsys1-dev_1.0.4-8_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/libcupsys1_1.0.4-8_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/cupsys-bsd_1.0.4-8_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/cupsys_1.0.4-8_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/libcupsys1-dev_1.0.4-8_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/libcupsys1_1.0.4-8_sparc.deb