—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Sun Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-0540 – Cross-Site Request Forgery Schwachstelle im
CUPS-Webinterface

Das CUPS-Webinterface ermoeglicht es ueber HTTP-Requests, den Dienst zu
konfigurieren und Informationen ueber Druck-Auftraege abzufragen. Die
unsichere Art und Weise in der das geschieht, fuehrt zu einer Cross-Site
Request Forgery Schwachstelle. Ein entfernter Angreifer kann diese
Schwachstelle mittels einer speziell konstruierten Web-Seite ausnutzen,
um den Dienst zu rekonfigurieren und an Informationen ueber
Druck-Auftraege zu gelangen. Voraussetzung ist, dass der Benutzer als
Administrator im CUPS-Webinterface angemeldet ist und auf die Seite des
Angreifers zugreift.

Betroffen sind die folgenden Software Pakete und Plattformen:

CUPS

Oracle Solaris 11 Express

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Matthias Braeck

– —
Matthias Braeck (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

CVE-2010-0540 Cross-Site Request Forgery (CSRF) vulnerability in CUPS
posted by chandan in Alerts

CVE Description CVSSv2 Base Score Component Product and Resolution
CVE-2010-0540 Cross-Site Request Forgery (CSRF) vulnerability 6.0 CUPS Printing System Solaris 11 Express snv_151a + 6958372

This notification describes vulnerabilities fixed in third-party components that are included in Sun’s product distribution.
Information about vulnerabilities affecting Oracle Sun products can be found on Oracle Critical Patch Updates and Security Alerts page.

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iQEcBAEBAgAGBQJNgeAsAAoJEJtyb8U7iGZBFVgH/A/TmsFEaguutMFhJvAxGTVm
LtvbZ+RtJrBKHbG954aiSYYs8Oz55fBPqC3AOUdhErhzFhzhO9haosh0BNs1f5a4
Z+dJUjw+gIPr0jWKuuY9vE4h03Tbr5HBsSDmVtKvgtfeFNIVxLKoKMncQGVMEXoP
ZNzd/ovq6JgFcyAWGx+aywXp9cHdfLf+HRAh+8eAJPS5Xwh2ggV6O10TJNVttUBm
rRMNqKInBTuV+/KsoYDW3aCQ2N6y75cK4zu/7d/B13JEluqGhT6/gHGWs6aVVy8b
1PKkRajHkCouXemf1cH5chB1MIMVpKLX2n6p/fZyBXXxLxETHoHtFfN7SZ9GAig=
=AUN7
—–END PGP SIGNATURE—–