L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Apple CUPS

annonce de vulnérabilité informatique CVE-2018-6553

CUPS : élévation de privilèges via AppArmor Dnssd

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via AppArmor Dnssd de CUPS, afin d'élever ses privilèges.
Produits concernés : CUPS, Debian, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 12/07/2018.
Références : CVE-2018-6553, DLA-1426-1, DSA-4243-1, USN-3713-1, VIGILANCE-VUL-26697.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via AppArmor Dnssd de CUPS, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-4183

CUPS : exécution de code via /etc/cups/cups-files.conf

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via /etc/cups/cups-files.conf de CUPS, afin d'exécuter du code.
Produits concernés : CUPS, Debian, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : shell utilisateur.
Date création : 12/07/2018.
Références : CVE-2018-4183, DSA-4243-1, openSUSE-SU-2018:2239-1, openSUSE-SU-2018:2292-1, SUSE-SU-2018:2162-1, SUSE-SU-2018:2172-1, SUSE-SU-2018:2233-1, VIGILANCE-VUL-26696.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via /etc/cups/cups-files.conf de CUPS, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2018-4182

CUPS : élévation de privilèges via Profile Creation Error

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Profile Creation Error de CUPS, afin d'élever ses privilèges.
Produits concernés : CUPS, Debian, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 12/07/2018.
Références : CVE-2018-4182, DSA-4243-1, openSUSE-SU-2018:2239-1, openSUSE-SU-2018:2292-1, SUSE-SU-2018:2162-1, SUSE-SU-2018:2172-1, SUSE-SU-2018:2233-1, VIGILANCE-VUL-26695.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Profile Creation Error de CUPS, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2018-4181

CUPS : lecture de fichier via cupsd.conf

Synthèse de la vulnérabilité

Un attaquant local peut lire un fichier via cupsd.conf de CUPS, afin d'obtenir des informations sensibles.
Produits concernés : CUPS, Debian, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Date création : 12/07/2018.
Références : CVE-2018-4181, DLA-1426-1, DSA-4243-1, openSUSE-SU-2018:2239-1, openSUSE-SU-2018:2292-1, SUSE-SU-2018:2162-1, SUSE-SU-2018:2172-1, SUSE-SU-2018:2233-1, USN-3713-1, VIGILANCE-VUL-26694.

Description de la vulnérabilité

Un attaquant local peut lire un fichier via cupsd.conf de CUPS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-4180

CUPS : élévation de privilèges via CUPS_SERVERBIN

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via CUPS_SERVERBIN de CUPS, afin d'élever ses privilèges.
Produits concernés : CUPS, Debian, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Ubuntu, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 12/07/2018.
Références : CVE-2018-4180, DLA-1426-1, DSA-4243-1, openSUSE-SU-2018:2239-1, openSUSE-SU-2018:2292-1, SUSE-SU-2018:2162-1, SUSE-SU-2018:2172-1, SUSE-SU-2018:2233-1, USN-3713-1, VIGILANCE-VUL-26693.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via CUPS_SERVERBIN de CUPS, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2017-18248

CUPS : déni de service via Invalid UTF-8 Username

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Invalid UTF-8 Username de CUPS, afin de mener un déni de service.
Produits concernés : CUPS, Debian, openSUSE Leap, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client intranet.
Date création : 27/03/2018.
Références : 5143, CVE-2017-18248, DLA-1387-1, DLA-1412-1, openSUSE-SU-2018:2239-1, SUSE-SU-2018:2162-1, USN-3713-1, VIGILANCE-VUL-25658.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Invalid UTF-8 Username de CUPS, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2015-3258 CVE-2015-3279

CUPS : buffer overflow de texttopdf

Synthèse de la vulnérabilité

Un attaquant peut provoquer un débordement de tampon dans texttopdf de CUPS, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : CUPS, Debian, Fedora, openSUSE, RHEL, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits privilégié, déni de service du serveur, déni de service du service.
Provenance : compte utilisateur.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 29/06/2015.
Références : 1235385, CVE-2015-3258, CVE-2015-3279, DSA-3303-1, FEDORA-2015-11163, FEDORA-2015-11192, openSUSE-SU-2015:1244-1, RHSA-2015:2360-01, USN-2659-1, VIGILANCE-VUL-17249.

Description de la vulnérabilité

Le produit CUPS contient un utilitaire de conversion de texte brut en PDF.

Lors de la génération de l'en-tête, dans la fonction "WriteProlog", un taille de tampon est calculée en fonction du nombre de lignes et de colonnes de texte. Cependant, utiliser des valeurs trop petites pour ces nombres conduit à une allocation incorrecte puis à un débordement de tampon lors de la génération des pages.

Un attaquant peut donc provoquer un débordement de tampon dans texttopdf de CUPS, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité 17082

CUPS : boucle infinie dans le traitement de fichiers compressés

Synthèse de la vulnérabilité

Un attaquant peut provoquer une boucle infinie dans le traitement de fichiers compressés de CUPS, afin de mener un déni de service.
Produits concernés : CUPS.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : shell utilisateur.
Date création : 09/06/2015.
Références : 4602, VIGILANCE-VUL-17082.

Description de la vulnérabilité

CUPS est un système de gestion d'impression pour environnement Unix.

Il peut recevoir les fichiers a imprimer compressés avec Gzip. Cependant, le format Gzip n'est pas correctement vérifié et une certaine erreur de format conduit à une boucle sans fin.

Un attaquant peut donc provoquer une boucle infinie dans le traitement de fichiers compressés de CUPS, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2015-1158

CUPS : injection de code via l'éditeur de liens dynamique

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux fonctions d'administration de CUPS, afin d'élever ses privilèges.
Produits concernés : CUPS, Debian, Fedora, Junos Space, openSUSE, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur.
Provenance : shell utilisateur.
Date création : 08/06/2015.
Date révision : 09/06/2015.
Références : 4609, CERTFR-2015-AVI-431, CVE-2015-1158, DSA-3283-1, FEDORA-2015-9726, FEDORA-2015-9801, JSA10702, openSUSE-SU-2015:1056-1, RHSA-2015:1123-01, SSA:2015-188-01, SUSE-SU-2015:1011-1, SUSE-SU-2015:1041-1, SUSE-SU-2015:1044-1, SUSE-SU-2015:1044-2, USN-2629-1, VIGILANCE-VUL-17079, VU#810572.

Description de la vulnérabilité

CUPS est un système de gestion d'impression pour environnement Unix.

Il dispose d'une interface Web pour recevoir notamment des requêtes d'impression. Cependant, les requêtes, mal formées, contentant plusieurs attributs "nameWithLanguage" sont mal rejetées. L'erreur permet de remplacer un fichier de configuration, ce qui permet de modifier l'environnement des programmes appelés avec des directives SetEnv et ainsi, via LD_PRELOAD, de faire charger et exécuter du code compilé sous la forme d'une bibliothèque partagée.

Un attaquant peut donc contourner les restrictions d'accès aux fonctions d'administration de CUPS, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2014-8166

CUPS : exécution de code via ANSI Sequence

Synthèse de la vulnérabilité

Un attaquant peut injecter des séquences ANSI illicites dans CUPS, afin d'exécuter du code.
Produits concernés : CUPS.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : compte utilisateur.
Date création : 24/03/2015.
Références : CVE-2014-8166, VIGILANCE-VUL-16450.

Description de la vulnérabilité

Plusieurs extensions aux séquences ANSI peuvent avoir un impact sur la sécurité (VIGILANCE-VUL-3355).

Cependant, le service CUPS ne filtre pas les séquences ANSI. Un attaquant peut alors injecter des séquences d'échappement ANSI, qui sont interprétées par le terminal shell.

Un attaquant peut donc injecter des séquences ANSI illicites dans CUPS, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Apple CUPS :