S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 21 septembre 2004
N° CERTA-2004-AVI-322
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du filtre d'impression foomatic-rip

Gestion du document

Référence CERTA-2004-AVI-322
Titre Vulnérabilité du filtre d'impression foomatic-rip
Date de la première version 21 septembre 2004
Date de la dernière version 11 octobre 2004
Source(s) Bulletin de sécurité Mandrake MDKSA-2004:094
Bulletin de sécurité SuSE SuSE-SA:2004:031
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de commandes arbitraires à distance

Systèmes affectés

Versions de Foomatic antérieures à la version 3.0.2.

Description

Une vulnérabilité présente dans Foomatic-rip, un filtre d'impression, peut être exploitée par un utilisateur mal intentionné lors de la soumission d'une requête d'impression afin d'exécuter des commandes arbitraires sur le serveur d'impression.

Contournement provisoire

Filter les accès au serveur d'impression afin de limiter l'exploitation de cette vulnérabilité.

Solution

La version 3.0.2 de Foomatic corrige cette vulnérabilité.

Se référer au bulletin de sécurité de l'éditeur (cf. section Documentation) pour l'obtention des correctifs.

Documentation

Gestion détaillée du document

    le 21 septembre 2004
    version initiale.
    le 11 octobre 2004
    ajout référence au bulletin de Sun.