Debian セキュリティ勧告

cupsys -- 遠隔からのプリンタの悪用

報告日時:

2000-11-19

影響を受けるパッケージ:

cupsys
cupsys-bsd
libcupsys1
libcupsys1-dev

危険性:

あり

参考セキュリティデータベース:

現時点では、その他の外部参考セキュリティデータベースはありません。

詳細:

Mandrake は、CUPS が起こす 2 つの事項についてセキュリティ勧告を行いました。

CUPS はブロードキャストパケットを送信するため、オンデマンド接続するダイヤルアップ回線をつなげたままにするか、あるいはネットワーク管理者を刺激します。
CUPS はそれだけではなく、曖昧な問題を持っており、その問題によって「インターネット上の誰でもあなたのプリンタを使うことが出来る」という影響を生みます。

最初の問題は、Debian potato (2.2) でも woody (unstable) でも問題になりません。これらの cupsys パッケージは初期状態で browsing がオフになっている状態で出荷されているからです。

2つ目の問題は CUPS の設定によるものです。CUPS は Apache に近い形でアクセス制御を行い、設定も初期状態では Apache の方法に近いものです。これは、人々にプリンタを操作することを許可する場合には、非常に適切であるとは言えません。インターネット上のユーザは、プリンタの管理タスクを行うことは依然としてできませんが、 (たとえば) あなたのプリンタの紙をすべて出してしまうことができます。 Debian は、potato や woody において、この後者の問題に対する脆弱性を持った状態で出荷されています。

修正は簡単で、/etc/cups/cupsd.conf にあるアクセス制御の設定を、ユーザが本当に望んでいるものに書き換えるだけです。これは、現在の (potato や woody に含まれる) パッケージでも可能です。

この問題はバージョン 1.0.4-8 (開発版では 1.1.4-2) で修正されており、 cupsys パッケージをすぐにアップグレードすることをお勧めします。

修正:

Debian 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4-8.diff.gz; http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4-8.dsc; http://security.debian.org/dists/stable/updates/main/source/cupsys_1.0.4.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/cupsys-bsd_1.0.4-8_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/cupsys_1.0.4-8_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/libcupsys1-dev_1.0.4-8_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/libcupsys1_1.0.4-8_alpha.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/cupsys-bsd_1.0.4-8_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/cupsys_1.0.4-8_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/libcupsys1-dev_1.0.4-8_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/libcupsys1_1.0.4-8_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/cupsys-bsd_1.0.4-8_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/cupsys_1.0.4-8_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/libcupsys1-dev_1.0.4-8_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/libcupsys1_1.0.4-8_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/cupsys-bsd_1.0.4-8_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/cupsys_1.0.4-8_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/libcupsys1-dev_1.0.4-8_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/libcupsys1_1.0.4-8_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/cupsys-bsd_1.0.4-8_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/cupsys_1.0.4-8_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/libcupsys1-dev_1.0.4-8_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/libcupsys1_1.0.4-8_sparc.deb