Druckerdienst CUPS führt Schadcode aus

Die neue Version 1.3.9 des Druckerdienstes CUPS für Linux, Mac OS X und andere unix-artige Betriebssysteme behebt mehrere sicherheitsrelevante Fehler. Laut dem zum Release gehörigen Changelog lassen sich Vorgängerversionen unter Linux beliebigen Schadcode unterschieben, wenn Anwender manipulierte Bilder im SGI-Format oder Textdateien ausdrucken. Die Programmierfehler befinden sich in den Filtern imagetops und texttops.

Die nur unter Mac OS X verfügbare Filterkomponente hpgltops enthält in den Vorgängerversionen eine Schwachstelle, die sich durch Drucken manipulierter Dokumente in der Stiftplottersprache HP-GL ausnutzen lässt. Ein Angreifer könnte so Schadprogramme mit den Rechten des Druckerdienstes, dessen Filter in der Regel mit den Rechten eines nichtprivilegierten Nutzers wie "lp" laufen, starten und den Rechner damit teilweise kontrollieren. Anwender sollten die fehlerbereinigten CUPS-Pakete umgehend einspielen, sobald sie der Betriebssystemhersteller zur Verfügung stellt.

Siehe dazu auch:

• Common UNIX Printing System 1.3.9, Changelog der Entwickler

(cr)