bug seguridad de lpr

[Inaki Fernandez Villanueva <siasevii@euskalnet.net>]

Hola,

En la web de debian surgió el 30 de octubre una nueva versión de lpr para
slink a raíz de un bug de seguridad en el cual los usuarios podrían
imprimir un fichero del que no tienen permisos de lectura.

No se explican mucho, pero al parecer el lpd no mira los permisos de los 
fichero de spool de lpd si se
manda imprimir con lpr -s fich (en el spool queda un link al fichero a
imprimir en lugar de tener un fichero con el contenido a imprimir). No
tengo muy claro si eso ocurre al hacer lpr -s fichCualquiera o si ocurre
cuando hago lpr -s fichDeSpoolDeLpd (a los cuales no debe tener permiso
nadie). 
 
No lo tengo claro pq. lo he probado y no he conseguido ese fallo, a lo
cual me pregunto si es un bug de slink o de Potato (me parece muy grave
como para que le pase a una versión estable como Slink), además la nueva
versión de lpr es 0.46, muy lejana a la 0.33-3 del Slink.

Me pregunto si alguien ha probado todo esto y si conoce algo más del tema.
Me gustaría encontrar algún sitio donde investigar más sobre esto, pero
aunque lo he buscado no he encontrado nada más, y prefiero no molestar al
propio mantenedor de lpr.

Gracias,


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
		  .~.        Iñaki Fernández Villanueva
   DEBIAN/GNU	  /V\        siasevii@euskalnet.net  siae0080@gc.ehu.es
                 // \\       Linux registered user #93164
   SLINK 2.1	/(   )\      Student in Computer Engineering
		 ^^-^^       University of San Sebastian (Spain)
             www.debian.org
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~