Bug 28572 - CVE-2012-5519 - cups lpadmin-to-root privilege escalation
: CVE-2012-5519 - cups lpadmin-to-root privilege escalation
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/cups)
: unstable
: all Linux
: P3 normal
Assigned To:
:
:
:
:
: 27685
  Show dependency tree
 
Reported: 2013-02-18 18:08 by
Modified: 2013-06-13 21:24 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2013-02-18 18:08:28
Есть проблема CVE-2012-5519, которая может позволить пользователю в группе
lpadmin получить права root, задействовав web-интерфейс.
Актуальна ли она для ALT Linux?

http://lists.debian.org/debian-release/2012/11/msg01241.html
http://web-agent.appspot.com/www.cups.org/str.php?L4223

Но больше интересует проблема с тем, что в качестве предложенного решения они
отделили параметры с путями в отдельный конфиг cups-files.conf. Это ломает
совместимость с теми, кто сам генерирует cupsd.conf
------- Comment #1 From 2013-05-19 18:13:43 -------
(В ответ на комментарий №0)
> Есть проблема CVE-2012-5519, которая может позволить пользователю в группе
> lpadmin получить права root, задействовав web-интерфейс.
> Актуальна ли она для ALT Linux?
> 
> http://lists.debian.org/debian-release/2012/11/msg01241.html
> http://web-agent.appspot.com/www.cups.org/str.php?L4223
> 
> Но больше интересует проблема с тем, что в качестве предложенного решения они
> отделили параметры с путями в отдельный конфиг cups-files.conf. Это ломает
> совместимость с теми, кто сам генерирует cupsd.conf

Кто его генерирует?
------- Comment #2 From 2013-05-19 18:15:32 -------
CVE + исправление многих реальных ошибок => блокер дистрибутивов p7
------- Comment #3 From 2013-05-21 19:20:25 -------
(В ответ на комментарий №1)
...
> > Но больше интересует проблема с тем, что в качестве предложенного решения они
> > отделили параметры с путями в отдельный конфиг cups-files.conf. Это ломает
> > совместимость с теми, кто сам генерирует cupsd.conf
> 
> Кто его генерирует?
Я так понимаю, что его генерирует любая программа настройки cups, за
исключением его самого.

Мы столкнулись с тем, что в nx используется запуск cupsd под пользователем,
с генерацией персональных настроек, чтобы предоставить пользователю
индивидуальных набор принтеров.
------- Comment #4 From 2013-06-12 20:25:13 -------
Новый cups в Сизифе, CVE исправлен.
Если есть иные баги -- открывайте.