Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 04 avril 2008

N° CERTA-2008-AVI-183

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans CUPS

Gestion du document

Référence	CERTA-2008-AVI-183
Titre	Vulnérabilités dans CUPS
Date de la première version	04 avril 2008
Date de la dernière version	04 avril 2008
Source(s)	Bulletin de mise à jour CUPS 1.3.7 du 01 avril 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance

Systèmes affectés

CUPS versions 1.3.6 et antérieures.

Résumé

Deux vulnérabilités permettant l'exécution de code arbitraire à distance ont été découvertes dans CUPS.

Description

Deux vulnérabilités ont été découvertes dans CUPS :

un débordement de mémoire dans le script cgiCompileSearch permet l'exécution de code arbitraire à distance (CVE-2008-0047) ;
un débordement de mémoire dans le filtre de traitement des images au format GIF permet également l'exécution de code arbitraire à distance (CVE-2008-1373).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de mise à jour CUPS 1.3.7 du 01 avril 2008

http://www.cups.org/articles.php?L537

Bulletin de sécurité Gentoo GLSA-200804-01 du 01 avril 2008 :

http://www.gentoo.org/security/en/glsa/glsa-200804-01.xml

Bulletin de sécurité RedHat RHSA-2008:0206 du 01 avril 2008 :

http://rhn.redhat.com/errata/RHSA-2008-0206.html

Bulletin de sécurité Ubuntu USN-598-1 du 02 avril 2008 :

http://www.ubuntulinux.org/usn/usn-598-1

Référence CVE CVE-2008-0047

https://www.cve.org/CVERecord?id=CVE-2008-0047

Référence CVE CVE-2008-1373

https://www.cve.org/CVERecord?id=CVE-2008-1373

Gestion détaillée du document

le 04 avril 2008: version initiale.