Vigil@nce : CUPS, élévation de privilèges via lppasswd
mars 2010 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut modifier la variable d’environnement
LOCALEDIR, afin de provoquer une attaque par format dans lppasswd,
conduisant à l’exécution de code privilégié.
Gravité : 2/4
Conséquences : accès/droits administrateur
Provenance : shell utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 04/03/2010
PRODUITS CONCERNÉS
– Debian Linux
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
La commande lppasswd définit le mot de passe des utilisateurs
accédant au gestionnaire d’impression CUPS. Ce programme est
installé suid root.
La variable d’environnement LOCALEDIR définit le répertoire où se
trouvent les traductions des messages. La fonction
_cupsLangprintf() utilise notamment ces messages traduits.
Un attaquant local peut changer LOCALEDIR, afin de forcer lppasswd
à afficher les messages de son choix avec _cupsLangprintf(). Comme
certains messages contiennent des caractères de formatage, un
attaquant peut ainsi directement provoquer une attaque par format,
avec lppasswd qui s’exécute avec les droits root.
Un attaquant local peut donc modifier la variable d’environnement
LOCALEDIR, afin de provoquer une attaque par format dans lppasswd,
conduisant à l’exécution de code privilégié.
CARACTÉRISTIQUES
Références : BID-38524, CVE-2010-0393, DSA 2007-1,
VIGILANCE-VUL-9494
http://vigilance.fr/vulnerabilite/CUPS-elevation-de-privileges-via-lppasswd-9494