Összefoglaló
A CUPS két sebezhetősége veszélyezteti a rendszereket. Ezek a hibák jogosultsági szint emelésre, illetve CSS-alapú károkozásokra adhatnak lehetőséget.
Leírás
Az egyik sérülékenység a cupsd kapcsán merült fel, és a nyomtatási feladatok esetenkénti nem megfelelő (hiba)kezelésével hozható összefüggésbe. A hiba hatására az ACL ellenőrzés nem fut le megfelelően, aminek révén az elkövetők lecserélhetik a CUPS konfigurációs állományát. Ez a hiba már a CUPS 1.2.0-ás verziójától kezdődően jelen van a szoftverben.
A második sebezhetőség egy XSS-hibára vezethető vissza, és a bemeneti paraméterek esetenkénti nem megfelelő ellenőrzése okozza a webes interfész súgó oldalán megadható egyik paraméteren keresztül.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A CUPS 2.0.3-as verziójára való frissítés, vagy a fejlesztők által kiadott patch-ek telepítése.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2015-1158 - NVD CVE-2015-1158
CVE-2015-1159 - NVD CVE-2015-1159
Egyéb referencia: www.kb.cert.org
Egyéb referencia: isbk.hu