OracleVM 3.3：cups (OVMSA-2014-0035)

high Nessus 插件 ID 79550

语言：

简介

远程 OracleVM 主机缺少一个或多个安全更新。

描述

远程 OracleVM 系统缺少必要修补程序来解决关键安全更新：

- 恢复对白名单 /rss/ 资源的变更，因为这并未在上游使用。

- 来自上游的更多 STR #4461 补丁：使 rss 源全局可读，但 cachedir 为隐私。

- 修复服务器重新启动期间 Web 界面中的图标显示 (STR #4475)。

- 修复 STR #4461 的上游修补程序：允许我们所创建文件的 /rss/ 请求。

- 使用 STR #4461 的上游修补程序。

- 已应用上游修补程序，修复了 CVE-2014-5029（缺陷 #1122600）、CVE-2014-5030（缺陷 #1128764）、CVE-2014-5031（缺陷 #1128767）。

- 修复经认证的用户的 conf/log 文件读取 (STR #4461)。

- 修复 CGI 处理（STR #4454、缺陷 #1120419）。

- 针对 CVE-2014-3537 的修复补丁（缺陷 #1117794）

- CVE-2014-2856：跨站脚本缺陷（缺陷 #1117798）

- CVE-2014-3537：检查不充分导致权限升级（缺陷 #1117794）

- 已删除程序包描述变更。

- 已应用修补程序，修复了由于添加 httpSetTimeout 而导致的“Bad request”错误（STR #4440，也是 svn 修订 9967 的一部分）。

- 修复了没有准备好的数据时 cupsd 读取的超时问题（缺陷 #1110045）。

- 修复了 synconclose 修补程序以避免“too many arguments for format”警告。

- 修复了 settimeout 修补程序以包括用于 fmod 声明的 math.h。

- 修复了拼写错误，防止 Web 界面更改驱动程序（缺陷 #1104483、STR #3601）。

- 修复了 SyncOnClose 修补程序（缺陷 #984883）。

- 使用上游修补程序以避免重播 GSS 凭据（缺陷 #1040293）。

- 防止跨暂停/恢复的 BrowsePoll 问题（缺陷 #769292）：

- 避免无限期等待响应（svn 修订 9688）。

- 从 CUPS 1.5 向后移植了 httpSetTimeout API 函数，并在 ipp 后端中使用此函数，造成无限期等待直到打印机响应，发生硬错误或作业已取消。

- cups-polld：出错时重新连接。

- 添加了新的 SyncOnClose 指令，在更改配置文件后使用 fsync：默认为“Yes”。在 cupsd.conf 中调整（缺陷 #984883）。

- 修复 cupsctl 手册页拼写错误（缺陷 #1011076）。

- 使用更具可移植性的 rpm spec 文件语法进行条件性 php 构建（缺陷 #988598）。

- 修复 cupsd.conf 中的 SetEnv 指令（缺陷 #986495）。

- 修复“collection”属性发送（缺陷 #978387）。

- 阻止 format_log 段错误（缺陷 #971079）。

- 阻止 stringpool 损坏（缺陷 #884851）。

- 在排队等待打印机的作业超时的情况下不崩溃（缺陷 #855431）。

- 用于中断多部分处理的上游修补程序（缺陷 #852846）。

- 以正确的权限安装 /etc/cron.daily/cups（缺陷 #1012482）。

- 修复具有多个文件和多种格式的作业（缺陷 #972242）。

- 已应用修补程序，修复了 CVE-2012-5519（SystemGroup 中用户的权限升级或具有同等 polkit 权限）。这阻止路径在 /admin/conf/ 下的 HTTP PUT 请求（对 cupsd.conf 的请求除外），还阻止这类请求更改某些配置指令，例如 PageLog 和 FileDevice（缺陷 #875898）。