S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 21 janvier 2003
N^o CERTA-2002-AVI-275-005

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Multiples vulnérabilités dans CUPS

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-275

Gestion du document

Tableau 1: gestion du document

Référence	CERTA-2002-AVI-275-005
Titre	Multiples vulnérabilités dans CUPS
Date de la première version	20 décembre 2002
Date de la dernière version	21 janvier 2003
Source(s)	Avis de sécurité de iDEFENSE du 19-12-02
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Déni de service ;
exécution de code arbitraire à distance.

2 Systèmes affectés

Toutes les versions de CUPS antérieures à la version 1.1.18.

3 Résumé

De multiples vulnérabilités ont été découvertes dans le système d'impression CUPS (Common Unix Printing System) permettant à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance.

4 Description

CUPS est un système d'impression pour Unix développé par Easy Software Products et largement employé dans le monde Unix.
Les systèmes d'exploitations suivants livrent CUPS par défaut :

Apple ;
GNU/Linux RedHat, Debian, Mandrake, Suse, Slackware ;
FreeBSD et NetBSD.

Sept vulnérabilités ont été découvertes dans CUPS permettant à un utilisateur mal intentionné de réaliser un déni de service et d'exécuter du code arbitraire à distance.

5 Contournement provisoire

Filtrer le port 631/TCP au niveau du garde-barrière.

6 Solution

Mettre à jour CUPS en version 1.1.18.
Le téléchargement de la nouvelle version de CUPS se fait depuis l'adresse :

http://www.cups.org/software.html

7 Documentation

Annonce de la sortie de CUPS en version 1.1.18 :
```
http://www.cups.org/news.php?V87
```

Bulletin de sécurité Apple pour Mac OS X :

http://docs.info.apple.com/article.html?artnum=61798

Bulletin de sécurité Suse :

http://www.suse.com/de/security/2003_002_cups.html

Bulletin de sécurité Gentoo :

http://forums.gentoo.org/viewtopic.php?t=27949

Bulletin de sécurité Mandrake MDKSA-2003:001 :

http://www.mandrakesecure.com/en/advisories/advisory.php?name=MDKSA-2003:001

Bulletin de sécurité RedHat RHSA-2002:295-07 :
```
http://rhn.redhat.com/errata/RHSA-2002-295.html
```

Bulletin de sécurité DSA-232 de Debian :

http://www.debian.org/security/2003/dsa-232

Gestion détaillée du document

20 décembre 2002: version initiale.
23 décembre 2002: ajout référence au bulletin de sécurité d'Apple.
03 janvier 2003: ajout des bulletins de sécurité Suse et Gentoo.
13 janvier 2003: ajout du bulletin de sécurité Mandrake.
14 janvier 2003: ajout du bulletin de sécurité RedHat.
21 janvier 2003: ajout du bulletin de sécurité Debian.

CERTA
2012-01-04