Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
CUPS 1.x.
Résumé
Plusieurs vulnérabilités dans CUPS permettent à un utilisateur malintentionné de contourner la politique de sécurité, de porter atteinte à la confidentialité des données ou d'exécuter du code arbitraire à distance.
Description
Trois vulnérabilités dans CUPS ont été corrigées.
- Une vulnérabilité causée par un manque de contrôle lors d'une allocation de mémoire peut être exploitée afin d'exécuter du code arbitraire ;
- une vulnérabilité peut être exploitée au travers de l'interface Web CUPS afin de porter atteinte à la confidentialité des données (CVE-2010-1748) ;
- une vulnérabilité permet à un utilisateur malveillant de contourner la politique de sécurité afin de modifier certains paramètres de configuration (CVE-2010-0540).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Annonce de mise à jour CUPS du 17 juin 2010 : http://cups.org/articles.php?L596
- Référence CVE CVE-2010-0540 https://www.cve.org/CVERecord?id=CVE-2010-0540
- Référence CVE CVE-2010-0542 https://www.cve.org/CVERecord?id=CVE-2010-0542
- Référence CVE CVE-2010-1748 https://www.cve.org/CVERecord?id=CVE-2010-1748
