Debians sikkerhedsbulletin

DSA-2600-1 cups -- rettighedsforøgelse

Rapporteret den:
6. jan 2013
Berørte pakker:
cups
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 692791.
I Mitres CVE-ordbog: CVE-2012-5519.
Yderligere oplysninger:

Jann Horn opdagede at brugere af CUPS-udskriftssystemet, som er en del af lpadmin-gruppen, kunne ændre flere opsætningsparametre med sikkerhedsfølger. Specifikt var det muligt for en angriber at læse eller skrive vilkårlige filer som root, hvilket kunne benyttes til at forøge rettigheder.

Opdateringen opdeler opsætningsfilen /etc/cups/cupsd.conf i to filer: cupsd.conf og cups-files.conf. Mens den førstnævnte forbliver konfigurerbar via webgrænsefladen, vil den sidstnævnte kun kunne opsættes af root-brugeren. Se den opdaterede dokumentation, som følger med de nye pakker, for flere oplysninger om filerne.

I den stabile distribution (squeeze), er dette problem rettet i version 1.4.4-7+squeeze2.

I distributionen testing (wheezy), er dette problem rettet i version 1.5.3-2.7.

I den ustabile distribution (sid), er dette problem rettet i version 1.5.3-2.7.

Vi anbefaler at du opgraderer dine cups-pakker.