Risques

  • Déni de service sur la gestion des imprimantes
  • Intégrité et confidentialité des données

Systèmes affectés

Les versions de CUPS antérieures à la version 1.3.23.

Résumé

Description

CUPS est un logiciel qui fournit aux systèmes d'exploitation basés sur UNIX un système d'impression portable.

Plusieurs vulnérabilités ont été publiées sur CUPS :

CAN-2004-1267

: HPGL est format de fichier contenant des graphiques vectoriels, tels que ceux produits par exemple par les systèmes de conception assistés par ordinateur à destination de certaines tables traçantes.

Le logiciel CUPS offre à ses utilisateurs la possibilité d'imprimer
un fichier au format HPGL sur n'importe quelle imprimante gérée par
CUPS, grace à un programme appelé hpgltops.

hpgltops est vulnérable à un débordement de variable. Un utilisateur
mal intentionné peut soumettre à l'impression un fichier au format
HPGL astucieusement construit. Cela permet d'exécuter du code
arbitraire avec les droits du gestionnaire d'impression (souvent
c'est l'utilisateur « lp »). Un tel code en particulier pourrait en
particulier lire ou modifier les documents en cours d'impression.

CAN-2004-1268
CAN-2004-1269

: Le programme lppasswd fait partie du logiciel CUPS. Il permet de définir, de changer et de supprimer des mots de passe spécifiques pour la gestion des imprimantes. Une faille du programme lppasswd permet à un utilisateur mal intentionné de corrompre le contenu du fichier des mots de passe ou d'empêcher tout accès ultérieur à celui-ci. Ceci a pour effet de produire un déni de service sur la gestion des imprimantes.

CAN-2004-1270

: Le programme lppasswd permet à un utilisateur malicieux capable de produire un message d'erreur astucieusement construit de modifier le contenu du fichier des mots de passe servant à la gestion des imprimantes.

Solution

Un correctif de sécurité est proposé par les différentes distributions.

Documentation