Säkerhetsbulletin från Debian

cupsys -- fjärrmissbruk av skrivare

Rapporterat den:

2000-11-19

Berörda paket:

cupsys
cupsys-bsd
libcupsys1
libcupsys1-dev

Sårbara:

Referenser i säkerhetsdatabaser:

För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.

Ytterligare information:

Mandrake släppte nyligen en säkerhetsnotis mot CUPS, vilken tog upp två problem:

CUPS sänder "broadcast"-paket, vilket kan hålla uppringda linjer uppkopplade, och i allmänhet irritera nätverksadministratörer.
CUPS har ett rätt så vagt problem som får till effekt att "alla på Internet kan komma åt dina skrivare".

Det första problemet finns varken i Debian potato (2.2) eller woody (unstable), då våra cupsyspaket skeppas med bläddringen avstängd som förval.

Det andra problemet har med CUPS konfiguration att göra. CUPS har åtkomstkontroll liknande Apaches, och är som förval konfigurerad likt Apache. Detta är inte speciellt lämpligt i fallet låta folk ansluta till skrivare. Administrativa uppgifter är fortfarande inte tillåtna, men Internetanvändare skulle (exempelvis) kunna ta slut på papper i din skrivare. Debian potato och woody är sårbart för det senaste problemet med sin förvalda inställning.

Rättelsen är helt enkel att konfigurera åtkomstkontrollen så att den reflekterar dina verkliga önskemål, vilket görs i /etc/cups/cupsd.conf. Detta kan göras med de aktuella paketen (i både potato och woody).

Detta har rättats i version 1.0.4-8 (eller 1.1.4-2 för unstable) och vi rekommenderar att du uppgraderar ditt cupsyspaket omedelbart.

Rättat i:

Debian 2.2 (potato)

Källkod:: http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4-8.diff.gz; http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4-8.dsc; http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/cupsys-bsd_1.0.4-8_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/cupsys_1.0.4-8_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/libcupsys1-dev_1.0.4-8_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/libcupsys1_1.0.4-8_alpha.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/cupsys-bsd_1.0.4-8_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/cupsys_1.0.4-8_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/libcupsys1-dev_1.0.4-8_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/libcupsys1_1.0.4-8_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/cupsys-bsd_1.0.4-8_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/cupsys_1.0.4-8_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/libcupsys1-dev_1.0.4-8_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/libcupsys1_1.0.4-8_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/cupsys-bsd_1.0.4-8_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/cupsys_1.0.4-8_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/libcupsys1-dev_1.0.4-8_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/libcupsys1_1.0.4-8_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/cupsys-bsd_1.0.4-8_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/cupsys_1.0.4-8_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/libcupsys1-dev_1.0.4-8_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/libcupsys1_1.0.4-8_sparc.deb