Рекомендация Debian по безопасности

DSA-2600-1 cups -- повышение привилегий

Дата сообщения:
06.01.2013
Затронутые пакеты:
cups
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 692791.
В каталоге Mitre CVE: CVE-2012-5519.
Более подробная информация:

Янн Хорн обнаружил, что пользователи системы печати CUPS, являющиеся частью группы lpadmin, могут изменять некоторые параметры настройки, влияющие на безопасность. Говоря более конкретно, это позволяет атакующему читать или записывать произвольные файлы от лица суперпользователя, которые в дальнейшем могут использоваться для повышения привилегий.

Данное обновление разделяет файл настройки /etc/cups/cupsd.conf на два файла: cupsd.conf и cups-files.conf. Первый файл всё ещё может быть настроен через веб-интерфейс, второй же может быть настроен только суперпользователем. Для получения дополнительной информации об этих файлах обратите внимание на обновление документации, поставляемое с новым пакетом.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.4.4-7+squeeze2.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 1.5.3-2.7.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.5.3-2.7.

Рекомендуется обновить пакеты cups.