cups-1.4.2-67.0.1.AXS4
エラータID: AXSA:2014-674:02
以下項目について対処しました。
[Security Fix]
- CUPS の scheduler/client.c にはクロスサイトスクリプティング (XSS) 脆弱性が存在し,URL パスによって,リモートの攻撃者が任意の Web スクリプトあるいは HTML を注入する脆弱性があります。(CVE-2014-2856)
- CUPS の Web インターフェースには,/var/cache/cups/rss/ の ファイル上のシンボリックリンク攻撃によって,lp グループのローカルのユーザが任意のファイルを読み込む脆弱性があります。(CVE-2014-3537)
- CUPS の Web インターフェースには,/var/cache/cups/rss/ のファイル上のシンボリックリンク攻撃と language[0] をヌルに設定することによって,lp グループのローカルのユーザが任意のファイルを読み込む脆弱性があります。
注: この脆弱性は CVE-2014-3537 の不完全な修正によるものです。(CVE-2014-5029)
- CUPS は (1) index.html, (2) index.class, (3) index.pl, (4)index.php, (5) index.pyc あるいは (6) index.py 上のシンボリックリンク攻撃によって,ローカルのユーザが任意のファイルを読み込む脆弱性があります。(CVE-2014-5030)
- CUPS の Web インターフェースは,ファイルが誰にでも読み込める権限を持っているかをチェックしておらず,不明な要因によって,リモートの攻撃者が機密情報を取得する脆弱性があります。(CVE-2014-5031)
[Bug Fix]
- cups パッケージではさまざまなバグ修正を行いました。
パッケージをアップデートしてください。
Cross-site scripting (XSS) vulnerability in scheduler/client.c in Common Unix Printing System (CUPS) before 1.7.2 allows remote attackers to inject arbitrary web script or HTML via the URL path, related to the is_path_absolute function.
The web interface in CUPS before 1.7.4 allows local users in the lp group to read arbitrary files via a symlink attack on a file in /var/cache/cups/rss/.
The web interface in CUPS 1.7.4 allows local users in the lp group to read arbitrary files via a symlink attack on a file in /var/cache/cups/rss/ and language[0] set to null. NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-3537.
CUPS before 2.0 allows local users to read arbitrary files via a symlink attack on (1) index.html, (2) index.class, (3) index.pl, (4) index.php, (5) index.pyc, or (6) index.py.
The web interface in CUPS before 2.0 does not check that files have world-readable permissions, which allows remote attackers to obtains sensitive information via unspecified vectors.
N/A
SRPMS
- cups-1.4.2-67.0.1.AXS4.src.rpm
MD5: 4a38ca8a2ffd9fc9ca1b8bfcefed77cb
SHA-256: 2389444a6e2c096318c433b0149467f7a491b74bf48f48229643a60b83e3c87a
Size: 4.44 MB
Asianux Server 4 for x86
- cups-1.4.2-67.0.1.AXS4.i686.rpm
MD5: a38dfdc175d775b788dbd7ffe1101497
SHA-256: 30ea9d0ffc9a9b3e1c044b02273eace5eeaf62aae8435df3a4762ded02e4a5fe
Size: 2.29 MB - cups-devel-1.4.2-67.0.1.AXS4.i686.rpm
MD5: b106647d75956968d16a11fed19adf50
SHA-256: 669ee4e7a993027a543db45935654127192a7661551127351c76c45aca47e6b4
Size: 110.78 kB - cups-libs-1.4.2-67.0.1.AXS4.i686.rpm
MD5: 141744b929f478326fa30c738040d0fc
SHA-256: b1807f2fc6ac830e284158c720fa56eef768f7107b5577e0be44e2293c20b54e
Size: 329.11 kB - cups-lpd-1.4.2-67.0.1.AXS4.i686.rpm
MD5: 8884946a0fdcf4d7b84a5211df605daa
SHA-256: 4d086633fa4c2cbcae20a7c4c7760618d19f8fb8a3416b1b992587fef19bd2f9
Size: 83.77 kB
Asianux Server 4 for x86_64
- cups-1.4.2-67.0.1.AXS4.x86_64.rpm
MD5: cb442af2a403fe1d907856dcba56d7a6
SHA-256: a8e93383079fb0e6e6ebcc4ba54fffc601bd26aba86d162d0f31c282eeca06f1
Size: 2.30 MB - cups-devel-1.4.2-67.0.1.AXS4.x86_64.rpm
MD5: 5d722780028b1dcce3794c80fd17a7a9
SHA-256: 0ed13084974103d82595cd974e140550a887ff849ac026ce3b5c75af303f0660
Size: 110.36 kB - cups-libs-1.4.2-67.0.1.AXS4.x86_64.rpm
MD5: 6cc8dca0a804c64fd95ea568b25f5425
SHA-256: e79b005a559933445c84f3497b804c1ed4e41f8860e767cae214c62d59aa8fb0
Size: 319.10 kB - cups-lpd-1.4.2-67.0.1.AXS4.x86_64.rpm
MD5: 5758e491848a2237f012e75c9be0a96d
SHA-256: e912a327520f540ab1d58e9051b02826b413ebdaf849e710f1939aa78daf3853
Size: 83.43 kB - cups-devel-1.4.2-67.0.1.AXS4.i686.rpm
MD5: b106647d75956968d16a11fed19adf50
SHA-256: 669ee4e7a993027a543db45935654127192a7661551127351c76c45aca47e6b4
Size: 110.78 kB - cups-libs-1.4.2-67.0.1.AXS4.i686.rpm
MD5: 141744b929f478326fa30c738040d0fc
SHA-256: b1807f2fc6ac830e284158c720fa56eef768f7107b5577e0be44e2293c20b54e
Size: 329.11 kB