[Fedora] Schwachstelle in hplip – FEDORA-2011-11189

[Fedora] Schwachstelle in hplip - FEDORA-2011-11189

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-2722 – Schwachstelle in hplip

Im HP CUPS Filter in hplip (prnt/hpijs/hpcupsfax.cpp) werden temporaere
Dateien mit vorhersagbaren Namen erzeugt. Dies ermoeglicht einem lokalen
Angreifer mittels eines Symlink-Angriffs, beliebige Dateien mit den
Rechten des HP CUPS Filters zu ueberschreiben.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket hplip

Fedora 15

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Matthias Braeck

– —
Matthias Braeck (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-11189
2011-08-19 21:16:22
– ——————————————————————————–

Name : hplip
Product : Fedora 15
Version : 3.11.7
Release : 2.fc15
URL : http://hplip.sourceforge.net/
Summary : HP Linux Imaging and Printing Project
Description :
The Hewlett-Packard Linux Imaging and Printing Project provides
drivers for HP printers and multi-function peripherals.

– ——————————————————————————–
Update Information:

This update fixes a temporary file vulnerability in the fax support of HPLIP when debugging is enabled.
This update adds support for some new printers and fixes several issues.
– ——————————————————————————–
ChangeLog:

* Thu Aug 18 2011 Tim Waugh 3.11.7-2
– – Create debugging files securely (CVE-2011-2722, bug #725830).
* Mon Jul 25 2011 Jiri Popelka 3.11.7-1
– – 3.11.7
* Tue Jun 28 2011 Tim Waugh 3.11.5-4
– – Added Device ID for HP LaserJet Professional P1606dn (bug #708472).
– – Update IEEE 1284 Device IDs in hpijs.drv from hpcups.drv.
* Fri Jun 10 2011 Tim Waugh 3.11.5-3
– – Fix building against CUPS 1.5.
– – Re-create installed hpcups PPDs unconditionally (bug #712241).
* Thu May 19 2011 Jiri Popelka 3.11.5-2
– – Main package requires wget to avoid
misleading errors about network connectivity (bug #705843).
* Thu May 12 2011 Jiri Popelka 3.11.5-1
– – 3.11.5
* Fri Apr 1 2011 Tim Waugh 3.11.3a-2
– – Some rpmlint fixes for obsoletes/provides tags.
– ——————————————————————————–
References:

[ 1 ] Bug #725830 – CVE-2011-2722 hplip: insecure temporary file handling
https://bugzilla.redhat.com/show_bug.cgi?id=725830
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update hplip’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOb1CHAAoJEJtyb8U7iGZBGOEH/3zc5Smp6ZkWzsQ+iiJPfitD
mUccaCm4kAYgUGqeAbOlwHds0ouOWJXaq9IFVbQ9Lx/Pml1n8X+1tZ/aW1BGlA7k
YKbb8CX6DyT+0MmRWDz9/V7sC5Stg5Oh2RbiVf2I6lhIlcx8L03Uq4MgEDLOoqHj
Xh/R0YNF5kpoO+PyekIuSGcvXCEjF0WvGqlupim3n3K3Dc7pNkFrvaTWipAFGf13
lgK8WiKf7Not4XyoZvJ4EH4HRJEkbCf+MwxSOKy007NjPjVdT4G1ojhd39Ew9X3l
XXz1TKlaApuCKa6sODsTNXL99m7fzoMD4f/BV+YG6FE62hl8viWhAz0a06+gzrA=
=t7iZ
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben