Säkerhetsbulletin från Debian
DSA-4243-1 cups -- säkerhetsuppdatering
- Rapporterat den:
- 2018-07-11
- Berörda paket:
- cups
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2017-15400, CVE-2018-4180, CVE-2018-4181, CVE-2018-6553.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i CUPS, Common UNIX Printing System. Dessa problem har identifierats med följande CVS-ids:
- CVE-2017-15400
Rory McNamara upptäckte att en angripare kan exekvera godtyckliga kommandon (med samma rättigheter som CUPS-demonen) genom att sätta upp en illasinnad IPP-server med en skapad PPD-fil.
- CVE-2018-4180
Dan Bastone från Gotham Digital Science upptäckte att en lokal angripare med åtkomst till cupsctl kunde eskalera rättigheter genom att sätta en miljövariabel.
- CVE-2018-4181
Eric Rafaloff och John Dunlap från Gotham Digital Science upptäckte att en lokal angripare kan utföra begränsade läsningar av godtyckliga filer som root genom att manipulera cupsd.conf.
- CVE-2018-6553
Dan Bastone från Gotham Digital Science upptäckte att en angripare kan förbigå AppArmor cupsd sandboxen genom att starta dnssd-bakändan med hjälp av ett alternativt namn som har hårdlänkats till dnssd.
För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.2.1-8+deb9u2.
Vi rekommenderar att ni uppgraderar era cups-paket.
För detaljerad säkerhetsstatus om cups vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/cups
- CVE-2017-15400