• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-232-1 cupsys -- различные проблемы

Главная Специалистам База уязвимостей DSA-232-1 cupsys -- различные проблемы

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Описание
В общей системе печати Unix (Common Unix Printing Syste, CUPS)
обнаружено несколько уязвимых мест. Некоторые из них дают возможность удалённых атак на
компрометирование или отказ в обслуживании. Проект Common Vulnerabilities
and Exposures идентифицировал следущие проблемы:

CAN-2002-1383: Многочисленные целочисленные переполнения позволяют
   удалённому нападающему выполнить произвольный код через http-интерфейс
   CUPSd или из процесса обработки изображений в фильтрах CUPS.
CAN-2002-1366: "Race conditions" в сочетании с /etc/cups/certs/
   позволяют локальным пользователям с привилегиями lp создавать или
   перезаписывать произвольные файлы. Этой возможности нет в версии
   в дистрибутиве potato.
CAN-2002-1367: Эта уязвимость позволяет удалённому нападающему
   добавлять принтеры без аутентификации с помощью пакета UDP, что может
   быть использовано для произведения неавторизованных действий, таких
   как кража локального сертификата администрирования сервера пользователя
   root через страницу "need authorization".
CAN-2002-1368: Передача memcpy() отрицательной длины может вызвать
   отказ в обслуживании и, возможно, ыполнения произвольного кода.
CAN-2002-1369: Вызов небезопасной функции strncat() обработки строки
   параметров позволяет удалённому нападающему выполнить произвольный код
   с помощью переполнения буфера.
CAN-2002-1371: Изображения нулевой ширины позволяют удалённому
   нападающему выполнить произвольный код с помощью изменения заголовков
   фрагментов.
CAN-2002-1372: CUPS не проверяет корректно возвращаемые различными
   операциями с файлами или сокетами значения, что может позволить
   удалённому нападающему вызвать отказ в обслуживании.
CAN-2002-1384: Пакет cupsys содержит код из пакета xpdf,
   используемый для преобразования файлов PDF перед печатью, который
   содержит эксплуатируемую ошибку целочисленного переполнения. В версии
   в дистрибутиве potato этого нет.

Несмотря на то, что мы очень старались исправить все проблемы также и
в пакетах из potato, они всё ещё могут содержать другие связанные с
безопасностью ошибки. Поэтому мы советуем пользователям систем potato,
использующим CUPS обновить в ближайшее время систему до woody.
В текущем стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 1.1.14-4.3.
В старом стабильном дистрибутиве (potato) эти проблемы исправлены
в версии 1.0.4-12.1.
В нестабильном дистрибутиве (sid) эти проблемы исправлены
в версии 1.1.18-1.
Мы рекомендуем вам немедленно обновить пакеты CUPS.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
cupsys - 1.1.14-4.4
cupsys-bsd - 1.1.14-4.4
cupsys-client - 1.1.14-4.4
cupsys-pstoraster - 1.1.14-4.4
libcupsys2 - 1.1.14-4.4
libcupsys2-dev - 1.1.14-4.4
s390x:
cupsys - 1.1.14-4.4
cupsys-bsd - 1.1.14-4.4
cupsys-client - 1.1.14-4.4
cupsys-pstoraster - 1.1.14-4.4
libcupsys2 - 1.1.14-4.4
libcupsys2-dev - 1.1.14-4.4
m68k:
cupsys - 1.1.14-4.4
cupsys-bsd - 1.1.14-4.4
cupsys-client - 1.1.14-4.4
cupsys-pstoraster - 1.1.14-4.4
libcupsys2 - 1.1.14-4.4
libcupsys2-dev - 1.1.14-4.4
i686:
cupsys - 1.1.14-4.4
cupsys-bsd - 1.1.14-4.4
cupsys-client - 1.1.14-4.4
cupsys-pstoraster - 1.1.14-4.4
libcupsys2 - 1.1.14-4.4
libcupsys2-dev - 1.1.14-4.4
hppa:
cupsys - 1.1.14-4.4
cupsys-bsd - 1.1.14-4.4
cupsys-client - 1.1.14-4.4
cupsys-pstoraster - 1.1.14-4.4
libcupsys2 - 1.1.14-4.4
libcupsys2-dev - 1.1.14-4.4
sparc:
cupsys - 1.1.14-4.4
cupsys-bsd - 1.1.14-4.4
cupsys-client - 1.1.14-4.4
cupsys-pstoraster - 1.1.14-4.4
libcupsys2 - 1.1.14-4.4
libcupsys2-dev - 1.1.14-4.4
alpha:
cupsys - 1.1.14-4.4
cupsys-bsd - 1.1.14-4.4
cupsys-client - 1.1.14-4.4
cupsys-pstoraster - 1.1.14-4.4
libcupsys2 - 1.1.14-4.4
libcupsys2-dev - 1.1.14-4.4
ia64:
cupsys - 1.1.14-4.4
cupsys-bsd - 1.1.14-4.4
cupsys-client - 1.1.14-4.4
cupsys-pstoraster - 1.1.14-4.4
libcupsys2 - 1.1.14-4.4
libcupsys2-dev - 1.1.14-4.4
mips:
cupsys - 1.1.14-4.4
cupsys-bsd - 1.1.14-4.4
cupsys-client - 1.1.14-4.4
cupsys-pstoraster - 1.1.14-4.4
libcupsys2 - 1.1.14-4.4
libcupsys2-dev - 1.1.14-4.4
mipsel:
cupsys - 1.1.14-4.4
cupsys-bsd - 1.1.14-4.4
cupsys-client - 1.1.14-4.4
cupsys-pstoraster - 1.1.14-4.4
libcupsys2 - 1.1.14-4.4
libcupsys2-dev - 1.1.14-4.4
arm:
cupsys - 1.1.14-4.4
cupsys-bsd - 1.1.14-4.4
cupsys-client - 1.1.14-4.4
cupsys-pstoraster - 1.1.14-4.4
libcupsys2 - 1.1.14-4.4
libcupsys2-dev - 1.1.14-4.4
Debian GNU/Linux 2.2:
ppc:
cupsys - 1.0.4-12.1
cupsys-bsd - 1.0.4-12.1
libcupsys1 - 1.0.4-12.1
libcupsys1-dev - 1.0.4-12.1
m68k:
cupsys - 1.0.4-12.1
cupsys-bsd - 1.0.4-12.1
libcupsys1 - 1.0.4-12.1
libcupsys1-dev - 1.0.4-12.1
i686:
cupsys - 1.0.4-12.1
cupsys-bsd - 1.0.4-12.1
libcupsys1 - 1.0.4-12.1
libcupsys1-dev - 1.0.4-12.1
sparc:
cupsys - 1.0.4-12.1
cupsys-bsd - 1.0.4-12.1
libcupsys1 - 1.0.4-12.1
libcupsys1-dev - 1.0.4-12.1
alpha:
cupsys - 1.0.4-12.1
cupsys-bsd - 1.0.4-12.1
libcupsys1 - 1.0.4-12.1
libcupsys1-dev - 1.0.4-12.1
arm:
cupsys - 1.0.4-12.1
cupsys-bsd - 1.0.4-12.1
libcupsys1 - 1.0.4-12.1
libcupsys1-dev - 1.0.4-12.1
Ссылки
http://www.debian.org/security/dsa-232/

Источник: CVE
Наименование: CVE-2002-1369
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1369

Источник: CVE
Наименование: CVE-2002-1368
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1368

Источник: CVE
Наименование: CVE-2002-1372
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1372

Источник: CVE
Наименование: CVE-2002-1371
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1371

Источник: CVE
Наименование: CVE-2002-1367
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1367

Источник: CVE
Наименование: CVE-2002-1366
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1366

Источник: CVE
Наименование: CVE-2002-1383
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1383

Источник: CVE
Наименование: CVE-2002-1384
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1384