UPDATE: DFN-CERT-2014-0970 CUPS: Mehrere Schwachstellen ermöglichen Privilegieneskalation [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2014-0970 CUPS: Mehrere Schwachstellen ermöglichen Privilegieneskalation [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (25.08.2014):
Für Fedora 19 wurde ein Sicherheitsupdate bereitgestellt.
Version 1 (28.07.2014):
Neues Advisory

Betroffene Software:

CUPS

Betroffene Plattformen:

Debian Linux 7.5 Wheezy
Red Hat Fedora 19
Red Hat Fedora 20

Durch mehrere Schwachstellen in CUPS, bzw. durch den unvollständigen Fix
einer Schwachstelle kann ein lokaler, authentifizierter Angreifer seine
Privilegien erweitern.

Patch:

Fedora Security Update FEDORA-2014-8752

https://admin.fedoraproject.org/updates/FEDORA-2014-8752/cups-1.7.4-3.fc20

Patch:

Debian Security Advisory: DSA-2990-1

https://www.debian.org/security/2014/dsa-2990

Patch:

Fedora Security Update FEDORA-2014-9703

https://admin.fedoraproject.org/updates/FEDORA-2014-9703/cups-1.6.4-9.fc19

CVE-2014-5031: Schwachstelle in CUPS ermöglicht Privilegieneskalation

Es existiert eine Schwachstelle im Web-Interface von CUPS. Die
Berechtigungen von RSS- und Index-Dateien werden nicht richtig validiert.
Ein lokaler, authentifizierter Angreifer kann Dateirechte umgehen und
beliebige Dateien lesen oder möglicherweise seine Rechte erhöhen.

CVE-2014-5030: Schwachstelle in CUPS ermöglicht Privilegieneskalation

Es existiert eine Schwachstelle im Web-Interface von CUPS. Die
Berechtigungen von RSS- und Index-Dateien werden nicht richtig validiert.
Ein lokaler, authentifizierter Angreifer kann Dateirechte umgehen und
beliebige Dateien lesen oder möglicherweise seine Rechte erhöhen.

CVE-2014-5029: Schwachstelle in CUPS ermöglicht Privilegieneskalation

Es existiert eine Schwachstelle im Web-Interface von CUPS. Die
Berechtigungen von RSS- und Index-Dateien werden nicht richtig validiert.
Ein lokaler, authentifizierter Angreifer kann Dateirechte umgehen und
beliebige Dateien lesen oder möglicherweise seine Rechte erhöhen.

CVE-2014-3537: Schwachstelle in CUPS ermöglicht die Erweiterung von
Privilegien

Ein lokaler Benutzer mit Privilegien der Gruppe “lp” kann symbolische Links
in das RSS-Verzeichnis schreiben, um dann mit “cupsd” Rechte der Gruppe
“@SYSTEM” zu erhalten. Ein lokaler, authentifizierter Angreifer kann seine
Privilegien erweitern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0970/

Schwachstelle CVE-2014-3537 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3537

Fedora Security Update FEDORA-2014-8752:
https://admin.fedoraproject.org/updates/FEDORA-2014-8752/cups-1.7.4-3.fc20

Schwachstelle CVE-2014-5029 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5029

Schwachstelle CVE-2014-5030 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5030

Schwachstelle CVE-2014-5031 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5031

Debian Security Advisory: DSA-2990-1:
https://www.debian.org/security/2014/dsa-2990

Fedora Security Update FEDORA-2014-9703:
https://admin.fedoraproject.org/updates/FEDORA-2014-9703/cups-1.6.4-9.fc19

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben