CUPS : vulnérabilité dans l’impression de certains documents PDF

Gestion du document

Référence	CERTA-2005-AVI-017-001
Titre	CUPS : vulnérabilité dans l’impression de certains documents PDF
Date de la première version	19 janvier 2005
Date de la dernière version	27 janvier 2005
Source(s)	CVE : CAN-2005-0064
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire.

Systèmes affectés

Le paquet cupsys de Debian dans toute version antérieure à 1.1.14-5woody12 ;
Le paquet cups de Mandrakelinux.

Description

La vulnérabilité CAN-2005-0064 affecte le logiciel xpdf. Le logiciel cupsys/cups ayant un code similaire présente la même vulnérabilité qui permet à un utilisateur mal intentionné de fabriquer un fichier au format pdf malicieux. L'interprétation de ce fichier par le logiciel cupsys/cups se traduit par l'exécution de code arbitraire.

En ce qui concerne la distribution Debian, Cette vulnérabilité n'affecte que la version stable. Les autres versions n'utilisent plus leur propre version de xpdf.

Solution

Appliquer le correctif (cf. section 5).

Documentation

Bulletin de sécurité Debian DSA-645 du 19 janvier 2005 :
```
http://www.debian.org/security/2005/dsa-645
```
Bulletin de sécurité Mandrakelinux MDKSA-2005:018 du 25 janvier 2005 :
```
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:018
```

Gestion détaillée du document

le 19 janvier 2005: version initiale ;

le 27 janvier 2005: ajout de la référence au bulletin de sécurité Mandrakelinux.

Avis du CERT-FR

Objet: CUPS : vulnérabilité dans l’impression de certains documents PDF