Informations de sécurité / 1999 / Informations sur la sécurité -- lpr

Bulletin d'alerte Debian

lpr -- Les utilisateurs peuvent voir des fichiers qu'ils ne devraient pas

Date du rapport :

30 octobre 1999

Paquets concernés :

lpr

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

La version de lpr fournie dans Debian GNU/Linux 2.1 souffre de divers problèmes :

• Il y a une situation où lpr peut être exploité pour imprimer des fichiers non lisibles en temps normal ;
• lpd ne vérifie pas les permissions des fichiers dans la liste d'attente. Ainsi, en utilisant l'option -s, il pourrait imprimer des fichiers que l'utilisateur ne peut pas voir.

Mise à jour : D'autres vulnérabilités ont été découvertes dans lpr. Lisez https://www.debian.org/security/2000/20000109 pour plus d'information ; elles contiennent entre autre :

La version de lpr qui a été distribuée avec Debian GNU/Linux 2.1 et la version mise à jour dans la 2.1r4 contiennent deux failles de sécurité :

• Le nom d'hôte du client n'était pas vérifié correctement, de sorte que quelqu'un capable de contrôler l'entrée DNS pour leur adresse IP pouvait perturber lpr afin d'obtenir l'accès.
• Il était possible de préciser des options supplémentaires pour sendmail qui pouvaient être utilisées pour indiquer un autre fichier de configuration. On pouvait l'exploiter pour obtenir l'accès root.

Ces deux problèmes ont été corrigés dans la version 0.48-0.slink1. Nous vous recommandons de mettre à jour votre paquet lpr immédiatement.

Lisez la liste de diffusion BugTraq (1999 Oct 0176) pour de plus amples informations.