Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
CUPS 1.x.
Résumé
Une vulnérabilité dans CUPS permet à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
Une erreur a été identifiée dans le serveur d'impression CUPS. Elle est relative à la fonction IppReadIO() intervenant dans la mise en œuvre du protocole IPP (Internet Printing Protocol). Cette vulnérabilité de type débordement de mémoire permet à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire par le biais d'une requête IPP construite de façon particulière.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention du correctif (cf. section Documentation).
Documentation
- Bulletin de sécurité de CUPS du 31 octobre 2007 : http://www.cups.org/str.php?L2561
- Bulletin de sécurité de Mandriva MDKSA-2007:204 du 01 novembre 2007 : http://www.mandriva.com/en/security/advisories?name=MDKSA-2007:204
- Bulletin de sécurité de Red Hat RHSA-2007:1020 du 31 octobre 2007 : http://www.rhn.redhat.com/errata/RHSA-2007-1020.html
- Bulletin de sécurité de SuSE SUSE-SA:2007:058 du 31 octobre 2007 : http://lists.opensuse.org/opensuse-security-announce/2007-10/msg00010.html
- Bulletin de sécurité de Ubuntu USN-539-1 du 06 novembre 2007 : http://www.ubuntu.com/usn/usn-539-1
- Note de vulnérabilité de l'US-CERT VU#446897 du 01 novembre 2007 : http://www.kb.cert.org/vuls/id/446897
- Site de CUPS : http://www.cups.org
- Référence CVE CVE-2007-4351 https://www.cve.org/CVERecord?id=CVE-2007-4351
