Aviso de seguridad de Debian
DSA-4243-1 cups -- actualización de seguridad
- Fecha del informe:
- 11 de jul de 2018
- Paquetes afectados:
- cups
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2017-15400, CVE-2018-4180, CVE-2018-4181, CVE-2018-6553.
- Información adicional:
-
Se descubrieron varias vulnerabilidades en el Sistema de impresión común de UNIX (CUPS, por sus siglas en inglés). Estos problemas se han identificado con los ids de CVE siguientes:
- CVE-2017-15400
Rory McNamara descubrió que un atacante puede ejecutar órdenes arbitrarias (con los privilegios del daemon de CUPS) configurando un servidor IPP malicioso con un fichero PPD manipulado.
- CVE-2018-4180
Dan Bastone, de Gotham Digital Science, descubrió que un atacante local con acceso a cupsctl podría elevar privilegios dando valor a una variable de entorno.
- CVE-2018-4181
Eric Rafaloff y John Dunlap, de Gotham Digital Science, descubrieron que un atacante local puede realizar lecturas limitadas de ficheros arbitrarios como root manipulando cupsd.conf.
- CVE-2018-6553
Dan Bastone, de Gotham Digital Science, descubrió que un atacante puede eludir los límites del entorno aislado («sandbox») de AppArmor cupsd mediante una llamada al backend dnssd utilizando un nombre alternativo que se haya definido como enlace físico («hard link») a dnssd.
Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 2.2.1-8+deb9u2.
Le recomendamos que actualice los paquetes de cups.
Para información detallada sobre el estado de seguridad de cups consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/cups
- CVE-2017-15400