foomatic-4.0.4-5.AXS4
エラータID: AXSA:2016-162:01
リリース日:
2016/03/23 Wednesday - 05:54
題名:
foomatic-4.0.4-5.AXS4
影響のあるチャネル:
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- foomatic-rip の unhtmlify 関数には,ヒープベースのバッファーオーバー
フローが存在し,長いジョブのタイトルによって,リモートの攻撃者がサー
ビス拒否 (メモリ破壊とクラッシュ) を引き起こす,あるいは任意のコードを
実行する可能性のある脆弱性があります。(CVE-2010-5325)
- cups-filters の foomatic-rip と Foomatic の foomatic-filters の
util.c には,不完全なブラックリストの脆弱性が存在し,プリントジョブの
バッククォート文字によって,リモートの攻撃者が任意のコマンドを
実行する脆弱性があります。(CVE-2015-8237)
- cups-filters の foomatic-rip の util.c には不完全なブラックリスト
の脆弱性が存在し,プリントジョブのセミコロン文字 (;) によって,リモー
トの攻撃者が任意のコマンドを実行する脆弱性があります。
この脆弱性は CVE-2015-8327 とは異なる脆弱性です。(CVE-2015-8560)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2010-5325
Heap-based buffer overflow in the unhtmlify function in foomatic-rip in foomatic-filters before 4.0.6 allows remote attackers to cause a denial of service (memory corruption and crash) or possibly execute arbitrary code via a long job title.
Heap-based buffer overflow in the unhtmlify function in foomatic-rip in foomatic-filters before 4.0.6 allows remote attackers to cause a denial of service (memory corruption and crash) or possibly execute arbitrary code via a long job title.
CVE-2015-8327
Incomplete blacklist vulnerability in util.c in foomatic-rip in cups-filters 1.0.42 before 1.2.0 and in foomatic-filters in Foomatic 4.0.x allows remote attackers to execute arbitrary commands via ` (backtick) characters in a print job.
Incomplete blacklist vulnerability in util.c in foomatic-rip in cups-filters 1.0.42 before 1.2.0 and in foomatic-filters in Foomatic 4.0.x allows remote attackers to execute arbitrary commands via ` (backtick) characters in a print job.
CVE-2015-8560
Incomplete blacklist vulnerability in util.c in foomatic-rip in cups-filters 1.0.42 before 1.4.0 and in foomatic-filters in Foomatic 4.0.x allows remote attackers to execute arbitrary commands via a ; (semicolon) character in a print job, a different vulnerability than CVE-2015-8327.
Incomplete blacklist vulnerability in util.c in foomatic-rip in cups-filters 1.0.42 before 1.4.0 and in foomatic-filters in Foomatic 4.0.x allows remote attackers to execute arbitrary commands via a ; (semicolon) character in a print job, a different vulnerability than CVE-2015-8327.
追加情報:
N/A
ダウンロード:
SRPMS
- foomatic-4.0.4-5.AXS4.src.rpm
MD5: 031232837b47fb21050b426e967bbc28
SHA-256: 2e2fa7d75a0cc9cbe4289fb16318e18ab897f19587de688b1e19797ad8c3f37b
Size: 623.33 kB
Asianux Server 4 for x86
- foomatic-4.0.4-5.AXS4.i686.rpm
MD5: 031c076315a57734319be1c84d56af9b
SHA-256: 33a81125b1f8cf14ecdc380cc11a84ba0dcf1cc824d9e12280762668e53371e9
Size: 248.46 kB
Asianux Server 4 for x86_64
- foomatic-4.0.4-5.AXS4.x86_64.rpm
MD5: 3d417e40e9944156632e0b8443e9567e
SHA-256: ba11239f196c7a73f19bb0ddf12d955f91325d0ce309e0c1ccf439fccfb84d44
Size: 250.09 kB