UNIX／Linux系印刷システムのCUPSに脆弱性

ベンダー多数の製品に採用されている「Common UNIX Printing System」に脆弱性が見つかり、パッチが公開された。

[ITmedia]

　米Appleの傘下にあるUNIX／Linux系OS用の印刷システム「Common UNIX Printing System」（CUPS）にバッファオーバーフローの脆弱性が報告され、10月31日、問題を修正したアップデートが公開された。

　この問題を発見したセキュリティ企業Secuniaのアドバイザリーによると、脆弱性はcups/ipp.cの「ippReadIO()」機能でIPP（Internet Printing Protocol）タグを処理する際の境界エラーに起因する。

　細工を施したIPPリクエストを使ってこの問題を悪用されると、任意のコードを実行され、システムを制御される可能性がある。Secuniaのリスク評価は5段階で中程度の「Moderately critical」となっている。

　脆弱性はバージョン1.3.3で確認され、それより前のバージョンも影響を受ける可能性がある。バージョン1.3.4で問題が修正された。

　US-CERTによれば、CUPSはベンダー多数の製品に採用されており、未確認ながら影響を受ける可能性のあるベンダーとして、AppleのほかRed Hatなどの主要Linuxディストリビューターや、富士通、日立、Hewlett-Packard（HP）、IBM、Microsoft、NEC、ソニーなど大手各社の名を挙げている。