UPDATE: DFN-CERT-2015-0358 cups-filters: Eine Schwachstellen ermöglicht das Ausführen beliebigen Programmcodes [Linux][SuSE]

UPDATE: DFN-CERT-2015-0358 cups-filters: Eine Schwachstellen ermöglicht das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (30.04.2015):
SUSE stellt für die Distributionen SUSE Linux Enterprise Server 12 und
Desktop 12 Sicherheitsupdates zur Verfügung.
Version 1 (17.03.2015):
Neues Advisory

Betroffene Software:

CUPS-filters <= 1.0.60 Betroffene Plattformen: Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 12 Eine Schwachstelle in cups-filters ermöglicht einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode auszuführen. Die CVE-2015-2265 stellt ein Update zur Behebung des inadäquaten Fixes für die Schwachstelle CVE-2014-2707 dar. Patch: Ubuntu Security Notice USN-2532-1 http://www.ubuntu.com/usn/usn-2532-1/

Patch:

SUSE Security Update SUSE-SU-2015:0805-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150805-1.html

CVE-2015-2265: Schwachstelle in “cups-filters” ermöglicht das Ausführen
beliebigen Programmcodes

Eine Schwachstelle existiert in der Funktion “remove_bad_chars” in
cups-filters. Diese erlaubt einem Remote IPP-Drucker, der sich in einem
benachbarten Netzwerk befindet, über “Shell Metacharacters” im Modell, bzw.
über PDL im Kontext von System V Interface Skripten für
Druckerwarteschlangen, beliebige Befehle auszuführen. Diese Schwachstelle
behebt einen Fehler in dem inadäquaten Fix für die Schwachstelle
CVE-2014-2707.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0358/

Ubuntu Security Notice USN-2532-1:
http://www.ubuntu.com/usn/usn-2532-1/

Schwachstelle CVE-2015-2265 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2265

SUSE Security Update SUSE-SU-2015:0805-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150805-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben