[RFR] wml://security/2018/dsa-4243.wml

[jean-pierre giraud <jean-pierregiraud@neuf.fr>]

Bonjour,
Une nouvelle annonce de sécurité vient d'être publiée. En voici une
traduction. Merci d'avance pour vos relectures.
Amicalement,
jipege

#use wml::debian::translation-check translation="07b675fd002929e3c7b095ccf3c2d7ee18953a49" maintainer="Jean-Pierre Giraud"
<define-tag description>Mise à jour de sécurité</define-tag>
<define-tag moreinfo>
<p>Plusieurs vulnérabilités ont été découvertes dans CUPS, le système
commun d'impression pour UNIX. Ces problèmes ont reçu les identifiants CVE
suivants :</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-15400";>CVE-2017-15400</a>

<p>Rory McNamara a découvert qu'un attaquant est capable d'exécuter des
commandes arbitraires (avec les droits du démon CUPS) en paramétrant un
serveur IPP malveillant avec un fichier PPD contrefait.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4180";>CVE-2018-4180</a>

<p>Dan Bastone de Gotham Digital Science a découvert qu'un attaquant local
doté d'un accès à cupsctl pourrait augmenter ses droits en réglant une
variable d'environnement.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4181";>CVE-2018-4181</a>

<p>Eric Rafaloff et John Dunlap de Gotham Digital Science ont découvert
qu'un attaquant local peut réaliser des lectures limitées de fichiers
arbitraires en tant que superutilisateur en manipulant cupsd.conf.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4182";>CVE-2018-4182</a>

<p>Dan Bastone de Gotham Digital Science a découvert qu'un attaquant doté
d'un accès de superutilisateur dans un bac à sable peut exécuter des
dorsaux sans un profil de bac à sable en provoquant une erreur dans la
création de profil de CUPS.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-4183";>CVE-2018-4183</a>

<p>Dan Bastone et Eric Rafaloff de Gotham Digital Science ont découvert
qu'un attaquant avec un accès de superutilisateur dans un bac à sable peut
exécuter des commandes arbitraires en tant que superutilisateur sans bac à 
sable en modifiant /etc/cups/cups-files.conf.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6553";>CVE-2018-6553</a>

<p>Dan Bastone de Gotham Digital Science a découvert qu'un attaquant peut
contourner le bac à sable AppArmor de cupsd en invoquant le dorsal dnssd en
utilisant un nom différent lié physiquement à dnssd.</p></li>

</ul>

<p>Pour la distribution stable (Stretch), ces problèmes ont été corrigés
dans la version 2.2.1-8+deb9u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets cups.</p>

<p>Pour disposer d'un état détaillé sur la sécurité de cups, veuillez
consulter sa page de suivi de sécurité à l'adresse :
<a href="https://security-tracker.debian.org/tracker/cups";>\
https://security-tracker.debian.org/tracker/cups</a>.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4243.data"
# $Id: $