Debian セキュリティ勧告

DSA-2176-1 cups -- 複数の脆弱性

報告日時:

2011-03-02

影響を受けるパッケージ:

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2008-5183, CVE-2009-3553, CVE-2010-0540, CVE-2010-0542, CVE-2010-1748, CVE-2010-2431, CVE-2010-2432, CVE-2010-2941.

詳細:

Common UNIX Printing System (CUPS) に、複数の問題が発見されました。

CVE-2008-5183
RSS ジョブ終了通知に NULL ポインタを起こす欠陥があり、サービス拒否攻撃が可能です。
CVE-2009-3553
ファイルディスクリプタ処理に誤りがあり、サービス拒否攻撃が可能です。
CVE-2010-0540
ウェブインターフェースに、クロスサイトリクエストフォージェリに対する脆弱性が発見されました。
CVE-2010-0542
フィルタサブシステムでメモリ管理に誤りがあり、サービス拒否攻撃が可能です。
CVE-2010-1748
ウェブインターフェースに情報漏洩を起こす欠陥があります。
CVE-2010-2431
Emmanuel Bouillon さんにより、キャッシュファイル処理にシンボリックリンク攻撃脆弱性が発見されました。
CVE-2010-2432
認証コードの欠陥により、サービス拒否攻撃が可能です。
CVE-2010-2941
IPP コードにメモリ管理の誤りがあり、サービス拒否攻撃や任意のコードの実行が可能です。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題はバージョン 1.3.8-1+lenny9 で修正されています。

安定版 (stable) ディストリビューションおよび不安定版 (unstable) ディストリビューションには、Squeeze リリースの前から既に修正されています。

直ぐに cups パッケージをアップグレードすることを勧めます。