[Pardus-guvenlik] [PLSA 2009-199] Cups: Hizmet Reddi
pardus-guvenlik at pardus.org.tr
pardus-guvenlik at pardus.org.tr
28 Ara 2009 Pzt 16:27:55 EET
------------------------------------------------------------------------
Pardus Linux Güvenlik Bildirisi 2009-199 guvenlik at pardus.org.tr
------------------------------------------------------------------------
Tarih: 2009-12-27
Önem: 3
Tür: Remote
------------------------------------------------------------------------
Özet
====
Cups'da kötü niyetli kişilerin servis çakılması yoluyla
olasılıkla hizmet reddine neden olmakta kullanabilecekleri bir
zaafiyet bulundu. Bu sorun hem Pardus 2008'de hem de Pardus 2009'da
giderildi.
Açıklama
========
CUPS'ın dosya belirteçlerini işleme arayüzünde başvuruları ele
alım şeklinde "boşalttıktan sonra kullan" (bir değişkeni
hafızadan attıktan sonra o değişkene başvuruda bulunulması)
açığı bulundu. Bir uzak saldırgan özel olarak hazırlanmış bir
şekilde belirli bir yazıcının güncel yazdırma işlerinin listesini
sorgulayabilir ve bu da CUPS servisinin çakılmasına, dolayısıyla
hizmet reddine neden olabilir.
Etkilenen paketler:
Pardus 2009:
cups, 1.3.11-64-8 öncesi tüm sürümler
Pardus 2008:
cups, 1.3.10-59-12 öncesi tüm sürümler
Çözüm
=====
cups için güncelleme mevcut. Paket Yöneticisi'ni kullanarak, ya da
konsolda tek komut ile güncelleme yapabilirsiniz:
Pardus 2008:
pisi up cups
Pardus 2009:
pisi up cups
Referanslar
===========
* http://bugs.pardus.org.tr/show_bug.cgi?id=11663
* https://bugzilla.redhat.com/show_bug.cgi?id=530111
* http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3553
* http://www.cups.org/str.php?L3200
------------------------------------------------------------------------
Pardus-guvenlik mesaj listesiyle ilgili
daha fazla bilgi