Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
CUPS versions 1.3.8 et antérieures.
Résumé
Plusieurs vulnérabilités présentes dans CUPS permettent à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.
Description
Plusieurs vulnérabilités sont présentes dans CUPS :
- la première est relative à une erreur dans un filtre pour les imprimantes de marque HP ;
- la seconde concerne le traitement des images de types SGI (Silicon Graphics Image) ;
- la dernière est due à une erreur dans l'utilitaire texttops intégré à CUPS.
L'exploitation de ces vulnérabilités permet à un utilisateur distant malintentionné de provoquer un déni de service ou d'exécuter du code arbitraire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Liste des changements apportés à la version 1.3.9 de CUPS :
http://www.cups.org/relnotes.php#010123
- Bulletin de sécurité Ubuntu USN-656-1 du 15 octobre 2008 :
http://www.ubuntu.com/usn/usn-656-1
- Bulletin de sécurité RedHat RHSA-2008:0937 du 16 octobre 2008 :
http://rhn.redhat.com/errata/RHSA-2008-0937.html
- Bulletins de sécurité Fedora FEDORA-2008-8801 et FEDORA-2008-8844 du 16 octobre 2008 :
http://admin.fedoraproject.org/updates/F8/FEDORA-2008-8801
http://admin.fedoraproject.org/updates/F9/FEDORA-2008-8844
- Référence CVE CVE-2008-3639 :
https://www.cve.org/CVERecord?id=CVE-2008-3639
- Référence CVE CVE-2008-3640 :
https://www.cve.org/CVERecord?id=CVE-2008-3640
- Référence CVE CVE-2008-3641 :
https://www.cve.org/CVERecord?id=CVE-2008-3641
- Bulletin de sécurité Debian DSA-1656-1 du 20 octobre 2008, "cupsys - several vulnerabilities" :
http://www.debian.org/security/2008/dsa-1656
