Debians sikkerhedsbulletin
DSA-4243-1 cups -- sikkerhedsopdatering
- Rapporteret den:
- 11. jul 2018
- Berørte pakker:
- cups
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2017-15400, CVE-2018-4180, CVE-2018-4181, CVE-2018-6553.
- Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i CUPS, Common UNIX Printing System. Problemerne er registreret med følgende CVE-id'er:
- CVE-2017-15400
Rory McNamara opdagede at en angriber ville være i stand til at udføre vilkårlige kommandoer (med rettighederne hørende til CUPS-dæmonen), ved at opsætte en ondsindet IPP-server med en fabrikeret PPD-fil.
- CVE-2018-4180
Dan Bastone fra Gotham Digital Science opdagede at en lokal angriber med adgang til cupsctl, kunne forøge rettigheder ved at opsætte en miljøvariabel.
- CVE-2018-4181
Eric Rafaloff og John Dunlap fra Gotham Digital Science opdagede at en lokal angriber kunne iværksætte begrænsede læsninger af vilkårlige filer som root, ved at manipulere med cupsd.conf.
- CVE-2018-6553
Dan Bastone fra Gotham Digital Science opdagede at en angriber kunne omgå AppArmors cupsd-sandkasse, ved at kalde dnssd-backend'en ved hjælp af et alternativt navn, hårdtlinket til dnssd.
I den stabile distribution (stretch), er disse problemer rettet i version 2.2.1-8+deb9u2.
Vi anbefaler at du opgraderer dine cups-pakker.
For detaljeret sikkerhedsstatus vedrørende cups, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/cups
- CVE-2017-15400