<?xml version="1.0" encoding="UTF-8" ?>

<bugzilla version="5.2"
          urlbase="https://bugzilla.altlinux.org/"
          
          maintainer="jenya@basealt.ru"
>

    <bug>
          <bug_id>28572</bug_id>
          
          <creation_ts>2013-02-18 18:08:28 +0400</creation_ts>
          <short_desc>CVE-2012-5519 - cups lpadmin-to-root privilege escalation</short_desc>
          <delta_ts>2013-06-13 21:24:44 +0400</delta_ts>
          <reporter_accessible>1</reporter_accessible>
          <cclist_accessible>1</cclist_accessible>
          <classification_id>4</classification_id>
          <classification>Development</classification>
          <product>Sisyphus</product>
          <component>cups</component>
          <version>unstable</version>
          <rep_platform>all</rep_platform>
          <op_sys>Linux</op_sys>
          <bug_status>CLOSED</bug_status>
          <resolution>FIXED</resolution>
          
          
          <bug_file_loc></bug_file_loc>
          <status_whiteboard></status_whiteboard>
          <keywords></keywords>
          <priority>P3</priority>
          <bug_severity>normal</bug_severity>
          <target_milestone>---</target_milestone>
          
          <blocked>27685</blocked>
          <everconfirmed>1</everconfirmed>
          <reporter name="Vitaly Lipatov">lav</reporter>
          <assigned_to name="Anton Farygin">rider</assigned_to>
          <cc>aen</cc>
    
    <cc>cas</cc>
    
    <cc>george</cc>
    
    <cc>mike</cc>
    
    <cc>rider</cc>
    
    <cc>sem</cc>
    
    <cc>zerg</cc>
          
          <qa_contact>qa-sisyphus</qa_contact>

      

      

      

          <comment_sort_order>oldest_to_newest</comment_sort_order>  
          <long_desc isprivate="0" >
    <commentid>137984</commentid>
    <comment_count>0</comment_count>
    <who name="Vitaly Lipatov">lav</who>
    <bug_when>2013-02-18 18:08:28 +0400</bug_when>
    <thetext>Есть проблема CVE-2012-5519, которая может позволить пользователю в группе lpadmin получить права root, задействовав web-интерфейс.
Актуальна ли она для ALT Linux?

http://lists.debian.org/debian-release/2012/11/msg01241.html
http://web-agent.appspot.com/www.cups.org/str.php?L4223

Но больше интересует проблема с тем, что в качестве предложенного решения они отделили параметры с путями в отдельный конфиг cups-files.conf. Это ломает совместимость с теми, кто сам генерирует cupsd.conf</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>140414</commentid>
    <comment_count>1</comment_count>
    <who name="AEN">aen</who>
    <bug_when>2013-05-19 18:13:43 +0400</bug_when>
    <thetext>(В ответ на комментарий №0)
&gt; Есть проблема CVE-2012-5519, которая может позволить пользователю в группе
&gt; lpadmin получить права root, задействовав web-интерфейс.
&gt; Актуальна ли она для ALT Linux?
&gt; 
&gt; http://lists.debian.org/debian-release/2012/11/msg01241.html
&gt; http://web-agent.appspot.com/www.cups.org/str.php?L4223
&gt; 
&gt; Но больше интересует проблема с тем, что в качестве предложенного решения они
&gt; отделили параметры с путями в отдельный конфиг cups-files.conf. Это ломает
&gt; совместимость с теми, кто сам генерирует cupsd.conf

Кто его генерирует?</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>140415</commentid>
    <comment_count>2</comment_count>
    <who name="AEN">aen</who>
    <bug_when>2013-05-19 18:15:32 +0400</bug_when>
    <thetext>CVE + исправление многих реальных ошибок =&gt; блокер дистрибутивов p7</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>140438</commentid>
    <comment_count>3</comment_count>
    <who name="Vitaly Lipatov">lav</who>
    <bug_when>2013-05-21 19:20:25 +0400</bug_when>
    <thetext>(В ответ на комментарий №1)
...
&gt; &gt; Но больше интересует проблема с тем, что в качестве предложенного решения они
&gt; &gt; отделили параметры с путями в отдельный конфиг cups-files.conf. Это ломает
&gt; &gt; совместимость с теми, кто сам генерирует cupsd.conf
&gt; 
&gt; Кто его генерирует?
Я так понимаю, что его генерирует любая программа настройки cups, за исключением его самого.

Мы столкнулись с тем, что в nx используется запуск cupsd под пользователем,
с генерацией персональных настроек, чтобы предоставить пользователю индивидуальных набор принтеров.</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>140921</commentid>
    <comment_count>4</comment_count>
    <who name="AEN">aen</who>
    <bug_when>2013-06-12 20:25:13 +0400</bug_when>
    <thetext>Новый cups в Сизифе, CVE исправлен.
Если есть иные баги -- открывайте.</thetext>
  </long_desc>
      
      

    </bug>

</bugzilla>