S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 22 mai 2003 No CERTA-2003-AVI-046-002

Affaire suivie par :

CERTA

Objet : Faille dans le système d'impression lpr

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Elévation de privilèges en local.

2 Systèmes affectés

Systèmes Unix suivants :

• OpenBSD jusqu'à 3.2 ;
• SuSE Linux jusqu'à 7.3 ;
• Debian Linux versions 2.2 et 3.0 ;
• Mandrake Linux jusqu'à 8.2.

3 Résumé

Une faille dans la commande lprm permet à un utilisateur local d'obtenir les droits avec lesquels s'éxécute la commande (root ou utilisateur privilégié daemon).

4 Description

Un débordement de mémoire dans le programme lprm (suppression d'un travail d'impression dans la file d'attente) permet d'injecter du code arbitraire qui sera alors exécuté avec des privilèges élevés, le binaire ayant les droits root ou daemon.

5 Contournement provisoire

Supprimer les droits ``suid'' de la commande lprm en l'absence de correctif (son usage sera alors restreint).

6 Solution

Appliquer le correctif de l'éditeur :

• OpenBSD :

  http://www.openbsd.org/errata.html
  

• SuSE Linux :

  http://www.suse.com/de/security/2003_014_lprold.html
  

• Debian Linux :

  http://www.debian.org/security/2003/dsa-267
  

• Mandrake Linux :

  http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:059
  

7 Documentation

Référence CVE CAN-2003-0144 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0144

Gestion détaillée du document

14 mars 2003

version initiale.

25 mars 2003

ajout de la distribution Debian et de la référence CVE.

22 mai 2003

ajout de la distribution Mandrake.