Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Versions de CUPS antérieures à la version 1.1.14.
Résumé
Une vulnérabilité présente dans CUPS permet à un utilisateur mal intentionné de réaliser l'exécution de code arbitraire à distance.
Description
CUPS est un système de gestion d'impressions pour les plateformes UNIX basé sur le protocole d'impression d'internet (IPP).
Une vulnérabilité de type « debordement de mémoire » exploitable sur CUPS est présente lors de la lecture des noms d'attributs sur CUPS.
Cette vulnérabilité est exploitable à distance.
Contournement provisoire
Filtrer le port 631
tcp au niveau du garde barrière pour éviter l'exploitation de cette
vulnérabilité depuis l'Internet.
Solution
Installer la version 1.1.14 de CUPS.
Des mises à jour sont également disponibles sous forme de paquetages pour les distributions Linux (cf. section Documentation).
Documentation
- Avis de sécurité DSA-110 de Debian : http://www.debian.org/security/2002/dsa-110
- Avis de sécurité MDKSA-2002:015 de Mandrake : http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-015.php
- Avis de sécurité RHSA-2002:032 de Redhat : http://www.redhat.com/support/errata/RHSA-2002-032.html
