S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 30 mai 2003
N° CERTA-2003-AVI-094
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du service d'impression CUPS

Gestion du document

Référence CERTA-2003-AVI-094
Titre Vulnérabilité du service d'impression CUPS
Date de la première version30 mai 2003
Date de la dernière version12 juin 2003
Source(s) Bulletin de sécurité MDKSA-2003:062 de Mandrake
Bulletin de sécurité RHSA-2003:171 de Red Hat
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service

Systèmes affectés

Toutes les versions de CUPS antérieures ou égales à la version 1.1.19rc3.

Résumé

Un déni de service est possible sur le serveur d'impression CUPS.

Description

CUPS (Common Unix Printing System) est un serveur d'impression basé sur IPP (Internet Printing Protocol).

Une vulnérabilité présente dans la gestion des requêtes IPP peut être exploitée par un utilisateur mal intentionné afin de bloquer tout accès au service d'impression.

Contournement provisoire

Filtrer l'accès au port 631/tcp utilisé par IPP afin de limiter l'exploitation de cette vulnérabilité.

Solution

Appliquer le correctif fourni par l'éditeur :

  • Bulletin de sécurité MDKSA-2003:062 de Mandrake :

    http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:062

  • Bulletin de sécurité RHSA-2003:171 de Red Hat :

    http://rhn.redhat.com/errata/RHSA-2003-171.html

  • Bulletin de sécurité SuSE-SA:2003:028 de SuSE :

    http://www.suse.com/de/security/2003_028.html

  • Bulletin de sécurité DSA-317 de Debian :

    http://www.debian.org/security/2003/dsa-317

Documentation

Gestion détaillée du document

    le 30 mai 2003
    version initiale.
    le 10 juin 2003
    Ajout référence au bulletin de sécurité de SuSE.
    le 12 juin 2003
    Ajout référence au bulletin de sécurité de debian.