Информация по безопасности / 2018 / Информация о безопасности -- DSA-4243-1 cups

Рекомендация Debian по безопасности

DSA-4243-1 cups -- обновление безопасности

Дата сообщения:

11.07.2018

Затронутые пакеты:

cups

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2017-15400, CVE-2018-4180, CVE-2018-4181, CVE-2018-6553.

Более подробная информация:

В CUPS, общей системе печати UNIX, было обнаружено несколько уязвимостей. Эти уязвимости получили следующие идентификаторы CVE:

• CVE-2017-15400

  Рори МакНамара обнаружил, что злоумышленник способен выполнять произвольные команды (с правами службы CUPS), выбирая специально сформированный PPD-файл для вредоносного IPP-сервера.

• CVE-2018-4180

  Дэн Бэстоун из Gotham Digital Science обнаружил, что локальный злоумышленник, имеющий доступ к cupsctl, может повысить свои права доступа, установив переменную окружения.

• CVE-2018-4181

  Эрик Рэфэлофф и Джон Данлэп из Gotham Digital Science обнаружил, что локальный злоумышленник может выполнять ограниченные чтения произвольных файлов от лица суперпользователя, изменяя cupsd.conf.

• CVE-2018-6553

  Дэн Бэстоун из Gotham Digital Science обнаружил, что злоумышленник может обойти песочницу AppArmor для cupsd, запустив движок dnssd с помощью изменённого имени по жёсткой ссылке на dnssd.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 2.2.1-8+deb9u2.

Рекомендуется обновить пакеты cups.

С подробным статусом поддержки безопасности cups можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/cups