セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2600-1 cups

Debian セキュリティ勧告

DSA-2600-1 cups -- 特権の昇格

報告日時:

2013-01-06

影響を受けるパッケージ:

cups

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 692791.
Mitre の CVE 辞書: CVE-2012-5519.

詳細:

Jann Horn さんが、lpadmin グループにいる CUPS 印刷システムのユーザがセキュリティに影響する設定パラメータを複数、 変更することが可能であることを発見しました。 特に、これによって攻撃者に任意のファイルの root での読み書きを許し、権限を昇格させることが可能となります。

この更新では、設定ファイル /etc/cups/cupsd.conf を cupsd.conf と cups-files.conf の 2 つのファイルに分割しています。 前者はウェブインターフェイス経由で設定できるもの、後者は root ユーザによってのみ設定できるもの、となっています。 この新しいファイルのさらなる情報については、 新しいパッケージに付属の更新された文書を見てください。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 1.4.4-7+squeeze2 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 1.5.3-2.7 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.5.3-2.7 で修正されています。

直ちに cups パッケージをアップグレードすることを勧めます。