1 Risque

* Exécution de code arbitraire à distance ;
* déni de service à distance.

2 Systèmes affectés

Les versions de CUPS antérieures à 1.3.6.

3 Résumé

Le logiciel CUPS (Common UNIX Printing System) est vulnérable via son service de partage d’imprimante.

4 Description

Le service de CUPS permettant de partager une imprimante, tournant sur le port 631/TCP, est vulnérable à une attaque de type débordement de mémoire. Une personne malveillante peut, à distance, à l’aide d’un paquet spécifiquement réalisé, provoquer un déni de service ou exécuter du code arbitraire.

5 Solution

Se référer au bulletin de mise à jour de CUPS 1.3.6 du 19 février 2008 pour l’obtention des correctifs (cf. section Documentation).
6 Documentation

* Bulletin de mise à jour de CUPS 1.3.6 du 19 février 2008 :

http://www.cups.org/artiles.php?L529

* Bulletin de sécurité Apple 307562 du 18 mars 2008 :

http://docs.info.apple.com/article.html?artnum=307562

* Référence CVE CVE-2008-0047 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0047