Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1435

[Generic/CUPS] Schwachstellen im Common UNIX Printing System (UPDATE)
(2008-03-19 12:02:25.355959+00) Druckversion

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2008/03/msg00243.html

Zwei Pufferüberlaufschwachstellen im plattformübergreifenden Druckverwaltungssystem CUPS (Common UNIX Printing System) können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen.

Betroffene Systeme

  • CVE-2008-0047:
    CUPS 1.3.6 und frühere Versionen
  • CVE-2008-1373:
    CUPS 1.3.6 und frühere Versionen

Einfallstor

  • CVE-2008-0047:
    Port 631/tcp
  • CVE-2008-1373:
    Speziell präpariertes GIF-Bild in einem Druckauftrag an Port 631/tcp

Angriffsvoraussetzung

  • CVE-2008-0047:
    Zugriff auf ein Netzwerk, über das Pakete an das o.b. Einfallstor gesandt werden können
    (network)
  • CVE-2008-1373:
    Zugriff auf ein Netzwerk, über das Pakete an das o.b. Einfallstor gesandt werden können
    (network)

Angriffsvektorklasse

  • CVE-2008-0047:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2008-1373:
    über eine Netzwerkverbindung
    (remote)
  • Auswirkung

    • CVE-2008-0047:
      Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des cupsd-Prozesses
      (user compromise)
    • CVE-2008-1373:
      Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des cupsd-Prozesses
      (user compromise)

    Typ der Verwundbarkeit

    • CVE-2008-0047:
      Pufferüberlaufschwachstelle
      (buffer overflow bug)
    • CVE-2008-1373:
      Pufferüberlaufschwachstelle
      (buffer overflow bug)

    Gefahrenpotential

    • CVE-2008-0047:
      hoch
    • CVE-2008-1373:
      hoch

    (Hinweise zur Einstufung des Gefahrenpotentials.)

    Beschreibung

    • CVE-2008-0047:
      Eine Schwachstelle im Common UNIX Printing System kann von einem Angreifer dazu ausgenutzt werden, einen Pufferüberlauf auf dem Heap des beherbergenden Betriebssystems zu provozieren und in der Folge beliebigen Programmcode mit den Privilegien des cupsd-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Dies können je nach beherbergendem Betriebssystem und Konfiguration die Privilegien des lp, daemon oder eines anderen, ggf. sogar administrativen Benutzers sein.

      Zur erfolgreichen Ausnutzung ist es erforderlich, dass der Angreifer in der Lage ist, Pakete an den standardmäßig von CUPS zur Annahme von Druckaufträgen verwendeten Port 631/tcp zu senden. Insbesondere in Installationen, in denen ein zentraler Druckserver mittels CUPS Aufträge von anderen Rechnern annimmt, ist dies leicht möglich.

    • CVE-2008-1373:
      Eine Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von GIF-Bildern kann von einem Angreifer dazu ausgenutzt werden, einen Pufferüberlauf zu provozieren und in der Folge das System in einen unbenutzbaren Zustand zu versetzen oder beliebigen Programmcode mit den Privilegien des cupsd-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Dies können je nach beherbergendem Betriebssystem und Konfiguration die Privilegien des lp, daemon oder eines anderen, ggf. sogar administrativen Benutzers sein.

      Zur erfolgreichen Ausnutzung ist es erforderlich, dass der Angreifer in der Lage ist, Pakete an den standardmäßig von CUPS zur Annahme von Druckaufträgen verwendeten Port 631/tcp zu senden. Insbesondere in Installationen, in denen ein zentraler Druckserver mittels CUPS Aufträge von anderen Rechnern annimmt, ist dies leicht möglich.

    Workaround

    • CVE-2008-0047:
      Einschränkung des Netzverkehrs zu Port 631/tcp auf das technisch erforderliche, bei nur lokal betriebenen CUPS-Installationen etwa auf localhost
    • Hinweis:
      Diese Maßnahme behebt die Schwachstelle nicht, sondern schränkt lediglich die Zahl der Systeme ein, von denen aus eine Ausnutzung der Schwachstelle möglich ist.
    • CVE-2008-1373:
      Einschränkung des Netzverkehrs zu Port 631/tcp auf das technisch erforderliche, bei nur lokal betriebenen CUPS-Installationen etwa auf localhost
    • Hinweis:
      Diese Maßnahme behebt die Schwachstelle nicht, sondern schränkt lediglich die Zahl der Systeme ein, von denen aus eine Ausnutzung der Schwachstelle möglich ist.

    Gegenmaßnahmen

    • CVE-2008-0047:
    • CVE-2008-1373:
      • Installation von CUPS 1.3.7 oder späteren Versionen
    • Installation aktualisierter CUPS-Pakete der verschiedenen Linux-Distributoren, sobald verfügbar

    Vulnerability ID

    Weitere Information zu diesem Thema

    Revisionen dieser Meldung

    • V 1.0 (2008-03-19):
      • Meldung zur Schwachstelle CVE-2008-0047 veröffentlicht
      • Gegenmaßnahmen (Patches, neue CUPS-Version) nicht für alle Umgebungen verfügbar
    • V 1.1 (2008-04-04):
      • Beschreibung der Schwachstelle CVE-2008-1373 hinzugefügt
      • CUPS 1.3.7 verfügbar

    (og)

    Hinweis
    Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

    Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

    Vorherige Meldung Weitere Meldungen... Nächste Meldung

    Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.