Avis du CERTA : Vulnérabilité dans CUPS
mars 2008 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* déni de service à distance.
2 Systèmes affectés
Les versions de CUPS antérieures à 1.3.6.
3 Résumé
Le logiciel CUPS (Common UNIX Printing System) est vulnérable via son service de partage d’imprimante.
4 Description
Le service de CUPS permettant de partager une imprimante, tournant sur le port 631/TCP, est vulnérable à une attaque de type débordement de mémoire. Une personne malveillante peut, à distance, à l’aide d’un paquet spécifiquement réalisé, provoquer un déni de service ou exécuter du code arbitraire.
5 Solution
Se référer au bulletin de mise à jour de CUPS 1.3.6 du 19 février 2008 pour l’obtention des correctifs (cf. section Documentation).
6 Documentation
* Bulletin de mise à jour de CUPS 1.3.6 du 19 février 2008 :
http://www.cups.org/artiles.php?L529
* Bulletin de sécurité Apple 307562 du 18 mars 2008 :
http://docs.info.apple.com/article.html?artnum=307562
* Référence CVE CVE-2008-0047 :