blob: d7414b134debae4fe4c95eec62c5ec0bd91c5ec0 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
|
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>различные проблемы</define-tag>
<define-tag moreinfo>
<p>В общей системе печати Unix (Common Unix Printing Syste, CUPS)
обнаружено несколько <a href="http://www.idefense.com/advisory/12.19.02.txt">\
уязвимых мест</a>. Некоторые из них дают возможность удалённых атак на
компрометирование или отказ в обслуживании. Проект Common Vulnerabilities
and Exposures идентифицировал следущие проблемы:</p>
<ul>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1383">\
CAN-2002-1383</a>: Многочисленные целочисленные переполнения позволяют
удалённому нападающему выполнить произвольный код через http-интерфейс
CUPSd или из процесса обработки изображений в фильтрах CUPS.</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1366">\
CAN-2002-1366</a>: "Race conditions" в сочетании с <code>/etc/cups/certs/</code>
позволяют локальным пользователям с привилегиями lp создавать или
перезаписывать произвольные файлы. Этой возможности нет в версии
в дистрибутиве potato.</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1367">\
CAN-2002-1367</a>: Эта уязвимость позволяет удалённому нападающему
добавлять принтеры без аутентификации с помощью пакета UDP, что может
быть использовано для произведения неавторизованных действий, таких
как кража локального сертификата администрирования сервера пользователя
root через страницу "need authorization".</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1368">\
CAN-2002-1368</a>: Передача memcpy() отрицательной длины может вызвать
отказ в обслуживании и, возможно, ыполнения произвольного кода.</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1369">\
CAN-2002-1369</a>: Вызов небезопасной функции strncat() обработки строки
параметров позволяет удалённому нападающему выполнить произвольный код
с помощью переполнения буфера.</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1371">\
CAN-2002-1371</a>: Изображения нулевой ширины позволяют удалённому
нападающему выполнить произвольный код с помощью изменения заголовков
фрагментов.</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1372">\
CAN-2002-1372</a>: CUPS не проверяет корректно возвращаемые различными
операциями с файлами или сокетами значения, что может позволить
удалённому нападающему вызвать отказ в обслуживании.</li>
<li> <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1384">\
CAN-2002-1384</a>: Пакет cupsys содержит код из пакета xpdf,
используемый для преобразования файлов PDF перед печатью, который
содержит эксплуатируемую ошибку целочисленного переполнения. В версии
в дистрибутиве potato этого нет.</li>
</ul>
<p>Несмотря на то, что мы очень старались исправить все проблемы также и
в пакетах из potato, они всё ещё могут содержать другие связанные с
безопасностью ошибки. Поэтому мы советуем пользователям систем potato,
использующим CUPS обновить в ближайшее время систему до woody.</p>
<p>В текущем стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 1.1.14-4.3.</p>
<p>В старом стабильном дистрибутиве (potato) эти проблемы исправлены
в версии 1.0.4-12.1.</p>
<p>В нестабильном дистрибутиве (sid) эти проблемы исправлены
в версии 1.1.18-1.</p>
<p>Мы рекомендуем вам немедленно обновить пакеты CUPS.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-232.data"
|
