S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 23 janvier 2003
N° CERTA-2003-AVI-010
Affaire suivie par: CERT-FR
le 23 janvier 2003

Avis du CERT-FR

Objet: Vulnérabilités dans les pilotes d’impression de Linux Mandrake

Gestion du document

Référence CERTA-2003-AVI-010
Titre Vulnérabilités dans les pilotes d’impression de Linux Mandrake
Date de la première version 23 janvier 2003
Date de la dernière version 23 janvier 2003
Source(s) Bulletin de sécurité #MDKSA-2003:010 de Mandrake
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges.

Systèmes affectés

Mandrake 8.x et 9.0.

Résumé

Trois vulnérabilités ont été découvertes dans le paquetage des pilotes d'impression de Linux Mandrake.

Description

La distribution Linux de MandrakeSoft contient un paquetage de pilotes d'impression installé par défaut sur certaines distributions. Celui-ci contient plusieurs utilitaires et pilotes :

  • mtink : un utilitaire destiné à la surveillance des cartouches d'encre ;
  • escputil : un utilitaire qui permet le changement et le nettoyage de la tête d'impression sur les imprimantes Epson Stylus ;
  • m185p : un pilote pour les imprimantes Samsung de la série ML-85G.

Une vulnérabilité a été découverte dans ces utilitaires et ce pilote permettant à un utilisateur local d'obtenir les privilèges de l'utilisateur sys ou root.

Solution

Appliquer le correctif fourni par Mandrake (cf. Documentation).

Documentation

Bulletin de sécurité #MDKSA-2003:010 de Mandrake :

http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:010

Bulletin de sécurité iDEFENSE :

http://www.idefense.com/application/poi/display?id=20

Gestion détaillée du document

    le 23 janvier 2003
    version initiale.