Bulletin d'alerte Debian

DSA-2600-1 cups -- Augmentation de droits

Date du rapport :
6 janvier 2013
Paquets concernés :
cups
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 692791.
Dans le dictionnaire CVE du Mitre : CVE-2012-5519.
Plus de précisions :

Jann Horn a découvert que des utilisateurs du système d'impression CUPS qui font partie du groupe lpadmin pourraient modifier plusieurs paramètres de configuration avec des conséquences sur la sécurité. Plus précisément, cela permet à un attaquant de lire et d'écrire des fichiers arbitraires en tant que superutilisateur, ce qui peut permettre d'augmenter ses droits.

Cette mise à jour sépare le fichier de configuration /etc/cups/cupsd.conf en deux fichiers : cupsd.conf et cups-files.conf. Alors que le premier reste configurable par l'intermédiaire de l'interface web, le second ne peut être configuré que par le superutilisateur. Veuillez consulter la documentation mise à jour fournie avec le nouveau paquet pour plus de renseignements sur ces fichiers.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.4.4-7+squeeze2.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 1.5.3-2.7.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.5.3-2.7.

Nous vous recommandons de mettre à jour vos paquets cups.