Bulletin d'alerte Debian

DSA-232-1 cupsys -- Plusieurs failles

Date du rapport:

20 janvier 2003

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 6475, Identificateur BugTraq 6440, Identificateur BugTraq 6439, Identificateur BugTraq 6438, Identificateur BugTraq 6437, Identificateur BugTraq 6436, Identificateur BugTraq 6435.
Dans le dictionnaire CVE du Mitre : CVE-2002-1366, CVE-2002-1367, CVE-2002-1368, CVE-2002-1369, CVE-2002-1371, CVE-2002-1372, CVE-2002-1383, CVE-2002-1384.

Pour plus d'information:

Plusieurs failles de sécurité ont été découvertes dans le système commun d'impression sous Unix Common Unix Printing System (CUPS). Certains de ces problèmes représentent un risque potentiel de compromission à distance ou un déni de service. Le projet Common Vulnerabilities and Exposures identifie les points suivants :

CAN-2002-1383 : Plusieurs débordements d'entiers permettent à un attaquant à distance d'exécuter n'importe quel code via l'interface HTTP de CUPSd et le code gérant les images dans les filtres CUPS ;
CAN-2002-1366 : Des conditions concurrentes liées à /etc/cups/certs/ permettent aux utilisateurs locaux avec les privilèges de lp de créer ou d'écraser n'importe quel fichier. Ceci n'est pas vrai pour la version de Potato ;
CAN-2002-1367 : Cette faille permet à un attaquant distant d'ajouter des imprimantes sans authentification par le biais de paquets UDP ce qui peut être utilisé pour réaliser certaines activités interdites comme le vol du certificat du root local pour le serveur d'administration par la page « need authorization » ;
CAN-2002-1368 : Des tailles négatives de champs à copier par memcpy() peuvent causer un déni de service et probablement permettre d'exécuter n'importe quel code ;
CAN-2002-1369 : Un appel dangereux à la fonction strncat() par la chaîne de caractères d'option permet à un attaquant distant d'exécuter n'importe quel code via un dépassement de tampon ;
CAN-2002-1371 : Des images de taille nulle permettent à un attaquant distant d'exécuter n'importe quel code via des en-têtes de section modifiés ;
CAN-2002-1372 : CUPS ne vérifie pas correctement les valeurs de retour de diverses opérations sur les fichiers et les sockets, ce qui permet à un attaquant distant de causer un déni de service ;
CAN-2002-1384 : Le paquet cupsys contient des parties de code de xpdf utilisées pour convertir les fichiers PDF pour l'impression. Il contient un bogue de débordement d'entier exploitable. Ceci n'est pas vrai pour la version de Potato.

Bien que nous ayons péniblement essayé de corriger tous ces problèmes dans les paquets de Potato , il est possible que des soucis de sécurité persistent. Ainsi, nous conseillons aux utilisateurs de Potato de passer à Woody le plus vite possible.

Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.1.14-4.3.

Pour l'ancienne distribution stable (Potato), ces problèmes ont été corrigés dans la version 1.0.4-12.1.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.1.18-1.

Nous vous recommandons de mettre à jour vos paquets CUPS immédiatement.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.0.4-12.1.dsc; http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.0.4-12.1.diff.gz; http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.0.4.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.0.4-12.1_alpha.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.0.4-12.1_alpha.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys1_1.0.4-12.1_alpha.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys1-dev_1.0.4-12.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.0.4-12.1_arm.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.0.4-12.1_arm.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys1_1.0.4-12.1_arm.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys1-dev_1.0.4-12.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.0.4-12.1_i386.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.0.4-12.1_i386.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys1_1.0.4-12.1_i386.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys1-dev_1.0.4-12.1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.0.4-12.1_m68k.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.0.4-12.1_m68k.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys1_1.0.4-12.1_m68k.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys1-dev_1.0.4-12.1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.0.4-12.1_powerpc.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.0.4-12.1_powerpc.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys1_1.0.4-12.1_powerpc.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys1-dev_1.0.4-12.1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.0.4-12.1_sparc.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.0.4-12.1_sparc.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys1_1.0.4-12.1_sparc.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys1-dev_1.0.4-12.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4.dsc; http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4.diff.gz; http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4_alpha.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.1.14-4.4_alpha.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-client_1.1.14-4.4_alpha.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-pstoraster_1.1.14-4.4_alpha.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2_1.1.14-4.4_alpha.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2-dev_1.1.14-4.4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4_arm.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.1.14-4.4_arm.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-client_1.1.14-4.4_arm.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-pstoraster_1.1.14-4.4_arm.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2_1.1.14-4.4_arm.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2-dev_1.1.14-4.4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4_i386.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.1.14-4.4_i386.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-client_1.1.14-4.4_i386.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-pstoraster_1.1.14-4.4_i386.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2_1.1.14-4.4_i386.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2-dev_1.1.14-4.4_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4_ia64.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.1.14-4.4_ia64.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-client_1.1.14-4.4_ia64.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-pstoraster_1.1.14-4.4_ia64.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2_1.1.14-4.4_ia64.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2-dev_1.1.14-4.4_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4_hppa.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.1.14-4.4_hppa.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-client_1.1.14-4.4_hppa.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-pstoraster_1.1.14-4.4_hppa.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2_1.1.14-4.4_hppa.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2-dev_1.1.14-4.4_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4_m68k.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.1.14-4.4_m68k.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-client_1.1.14-4.4_m68k.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-pstoraster_1.1.14-4.4_m68k.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2_1.1.14-4.4_m68k.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2-dev_1.1.14-4.4_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4_mips.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.1.14-4.4_mips.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-client_1.1.14-4.4_mips.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-pstoraster_1.1.14-4.4_mips.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2_1.1.14-4.4_mips.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2-dev_1.1.14-4.4_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4_mipsel.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.1.14-4.4_mipsel.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-client_1.1.14-4.4_mipsel.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-pstoraster_1.1.14-4.4_mipsel.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2_1.1.14-4.4_mipsel.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2-dev_1.1.14-4.4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4_powerpc.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.1.14-4.4_powerpc.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-client_1.1.14-4.4_powerpc.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-pstoraster_1.1.14-4.4_powerpc.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2_1.1.14-4.4_powerpc.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2-dev_1.1.14-4.4_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4_s390.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.1.14-4.4_s390.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-client_1.1.14-4.4_s390.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-pstoraster_1.1.14-4.4_s390.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2_1.1.14-4.4_s390.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2-dev_1.1.14-4.4_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/c/cupsys/cupsys_1.1.14-4.4_sparc.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-bsd_1.1.14-4.4_sparc.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-client_1.1.14-4.4_sparc.deb; http://security.debian.org/pool/updates/main/c/cupsys/cupsys-pstoraster_1.1.14-4.4_sparc.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2_1.1.14-4.4_sparc.deb; http://security.debian.org/pool/updates/main/c/cupsys/libcupsys2-dev_1.1.14-4.4_sparc.deb

Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les hachés MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.