U radu programskog paketa HPLIP, za operacijski sustav Fedora 15, uočena je sigurnosna ranjivost. Zlonamjerni ju korisnik može iskoristiti za prepisivanje proizvoljnih datoteka.
Paket:
hplip 3.x
Operacijski sustavi:
Fedora 15
Kritičnost:
1.7
Problem:
neodgovarajuće rukovanje datotekama
Iskorištavanje:
lokalno/udaljeno
Posljedica:
izmjena podataka
Rješenje:
programska zakrpa proizvođača
CVE:
CVE-2011-2722
Izvorni ID preporuke:
FEDORA-2011-11189
Izvor:
Fedora
Problem:
Ranjivost se očituje u stvaranju privremenih datoteka sa predvidivim imenom.
Posljedica:
Napadaču nedostatak omogućuje prepisivanje proizvoljnih datoteka putem tzv. symlink napada.
Rješenje:
Korisnicima se savjetuje korištenje ispravljene inačice.
--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2011-11189
2011-08-19 21:16:22
--------------------------------------------------------------------------------
Name : hplip
Product : Fedora 15
Version : 3.11.7
Release : 2.fc15
URL : http://hplip.sourceforge.net/
Summary : HP Linux Imaging and Printing Project
Description :
The Hewlett-Packard Linux Imaging and Printing Project provides
drivers for HP printers and multi-function peripherals.
--------------------------------------------------------------------------------
Update Information:
This update fixes a temporary file vulnerability in the fax support of HPLIP
when debugging is enabled.
This update adds support for some new printers and fixes several issues.
--------------------------------------------------------------------------------
ChangeLog:
* Thu Aug 18 2011 Tim Waugh <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> 3.11.7-2
- Create debugging files securely (CVE-2011-2722, bug #725830).
* Mon Jul 25 2011 Jiri Popelka <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> 3.11.7-1
- 3.11.7
* Tue Jun 28 2011 Tim Waugh <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> 3.11.5-4
- Added Device ID for HP LaserJet Professional P1606dn (bug #708472).
- Update IEEE 1284 Device IDs in hpijs.drv from hpcups.drv.
* Fri Jun 10 2011 Tim Waugh <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> 3.11.5-3
- Fix building against CUPS 1.5.
- Re-create installed hpcups PPDs unconditionally (bug #712241).
* Thu May 19 2011 Jiri Popelka <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> 3.11.5-2
- Main package requires wget to avoid
misleading errors about network connectivity (bug #705843).
* Thu May 12 2011 Jiri Popelka <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> 3.11.5-1
- 3.11.5
* Fri Apr 1 2011 Tim Waugh <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> 3.11.3a-2
- Some rpmlint fixes for obsoletes/provides tags.
--------------------------------------------------------------------------------
References:
[ 1 ] Bug #725830 - CVE-2011-2722 hplip: insecure temporary file handling
https://bugzilla.redhat.com/show_bug.cgi?id=725830
--------------------------------------------------------------------------------
This update can be installed with the "yum" update program. Use
su -c 'yum update hplip' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
--------------------------------------------------------------------------------
_______________________________________________
package-announce mailing list
Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
https://admin.fedoraproject.org/mailman/listinfo/package-announce
Posljednje sigurnosne preporuke