RHEL 6:cups(RHSA-2014:1388)

medium Nessus プラグイン ID 78405
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

複数のセキュリティの問題といくつかのバグを修正する更新済みの cups パッケージが、Red Hat Enterprise Linux 6 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

CUPS は、Linux、UNIX 、その他の類似するオペレーティングシステムにポータブルな印刷レイヤーを提供します。

CUPS Web インターフェイスにクロスサイトスクリプティング(XSS)の欠陥が見つかりました。
攻撃者が、この欠陥を利用して、CUPS Web インターフェイスのユーザーに対してクロスサイトスクリプティング攻撃を実行する可能性があります。(CVE-2014-2856)

CUPS が特定のユーザーに、/var/cache/cups/ の下の特定のディレクトリで、シンボリックリンクの作成を許容することが判明しました。「lp」グループ権限を有するローカルのユーザーが、この欠陥を利用して、システム上の任意のファイルの内容を読み取ったり、そのシステム上の権限を昇格する可能性がありました。(CVE-2014-3537、CVE-2014-5029、CVE-2014-5030、 CVE-2014-5031)

CVE-2014-3537 の問題は、Red Hat 製品セキュリティの Francisco Alonso 氏により発見されました。

これらの更新済みの cupsパッケージには、いくつかのバグ修正も含まれています。スペースの関係で、変更すべてを文書化しこのアドバイザリに反映されているわけではありません。これらの変更のなかで最も重要なものについては、「参照」でリンクされている Red Hat Enterprise Linux 6.6 テクニカルノートを参照してください。

cupsの全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。この更新をインストールした後、 cupsd デーモンは自動的に再起動します。

ソリューション

影響を受けるパッケージを更新してください。

関連情報

http://www.nessus.org/u?b5caa05f

https://access.redhat.com/errata/RHSA-2014:1388

https://access.redhat.com/security/cve/cve-2014-3537

https://access.redhat.com/security/cve/cve-2014-2856

https://access.redhat.com/security/cve/cve-2014-5029

https://access.redhat.com/security/cve/cve-2014-5030

https://access.redhat.com/security/cve/cve-2014-5031

プラグインの詳細

深刻度: Medium

ID: 78405

ファイル名: redhat-RHSA-2014-1388.nasl

バージョン: 1.17

タイプ: local

エージェント: unix

公開日: 2014/10/14

更新日: 2021/1/14

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Low

スコア: 3.4

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.7

ベクトル: AV:N/AC:L/Au:N/C:P/I:N/A:N

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:cups, p-cpe:/a:redhat:enterprise_linux:cups-debuginfo, p-cpe:/a:redhat:enterprise_linux:cups-devel, p-cpe:/a:redhat:enterprise_linux:cups-libs, p-cpe:/a:redhat:enterprise_linux:cups-lpd, p-cpe:/a:redhat:enterprise_linux:cups-php, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/10/13

脆弱性公開日: 2014/4/18

参照情報

CVE: CVE-2014-2856, CVE-2014-3537, CVE-2014-5029, CVE-2014-5030, CVE-2014-5031

BID: 66788, 68788, 68842, 68846, 68847

RHSA: 2014:1388