JVNDB-2014-003525

CUPS の Web インターフェースにおける任意のファイルを読まれる脆弱性

CUPS の Web インターフェースには、任意のファイルを読まれる脆弱性が存在します。

Canonical

• Ubuntu 14.04 LTS
• Ubuntu 12.04 LTS
• Ubuntu 10.04 LTS

Fedora Project

• Fedora 20

アップル

• CUPS 1.7.4 未満
• Apple Mac OS X 10.10 未満

lp グループのローカルユーザにより、/var/cache/cups/rss/ 配下のファイルへのシンボリックリンク攻撃を介して、任意のファイルを読まれる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-2293-1

Fedora Project

• Fedora Update Notification : FEDORA-2014-8351

アップル

• Apple Security Updates : HT6535
• Apple セキュリティアップデート : HT6535
• CUPS.org : STR #4450 CVE-2014-3537: Insufficient checking leads to privilege escalation
• CUPS.org : Article #724
• CUPS.org : Release Notes

レッドハット

• Red Hat Bugzilla : Bug 1115576
• レッドハット : RHSA-2014:1388

1. リンク解釈の問題(CWE-59) [NVD評価]

1. CVE-2014-3537

1. JVN : JVNVU#97537282
2. National Vulnerability Database (NVD) : CVE-2014-3537
3. 関連文書 : APPLE-SA-2014-10-16-1 OS X Yosemite v10.10
4. 関連文書 : MGASA-2014-0313

• [2014年07月24日]
    掲載
  [2014年11月05日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (HT6535) を追加
    参考情報：JVN (JVNVU#97537282) を追加
    参考情報：関連文書 (APPLE-SA-2014-10-16-1 OS X Yosemite v10.10) を追加
  [2014年11月21日]
    ベンダ情報：レッドハット (RHSA-2014:1388) を追加
  [2015年06月08日]
    参考情報：関連文書 (MGASA-2014-0313) を追加