Säkerhetsbulletin från Debian

DSA-2600-1 cups -- utökning av privilegier

Rapporterat den:
2013-01-06
Berörda paket:
cups
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 692791.
I Mitres CVE-förteckning: CVE-2012-5519.
Ytterligare information:

Jann Horn upptäckte att användare av utskriftsystemet CUPS som är medlemmar i lpadmin-gruppen kunde modifiera flera konfigurationsparametrar vilket påverkar säkerheten. Specifikt så tillåter detta en angripare att läsa eller skriva opålitliga filer som root vilket kan användas för att utöka privilegier.

Den här uppdateringen delar upp konfigurationsfilen /etc/cups/cupsd.conf i två filer: cupsd.conf och cups-files.conf. Medan den första fortsätter att vara konfigurerbar via webbgränssnittet, så kan den andra endast konfigureras av root-användaren. Se den uppdaterade dokumentationen som kommer med det nya paketet för mer information om dessa filer.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.4.4-7+squeeze2.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 1.5.3-2.7.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.5.3-2.7.

Vi rekommenderar att ni uppgraderar era cups-paket.