OracleVM 3.3：cups (OVMSA-2014-0035)

high Nessus Plugin ID 79550

語系：

概要

遠端 OracleVM 主機缺少一個或多個安全性更新。

說明

遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式：

- 還原白名單 /rss/ 資源的變更，因為這並未在上游使用。

- 更多來自上游的 STR #4461 修正：讓 rss 摘要改為任何人皆可讀取，但將 cachedir 改為私人。

- 修正伺服器重新啟動時 Web 介面中的圖示顯示 (STR #4475)。

- 修正 STR #4461 的上游修補程式：允許我們建立之檔案的 /rss/ 要求。

- 使用 STR #4461 的上游修補程式。

- 套用上游修補程式，以修正 CVE-2014-5029 (錯誤 #1122600)、CVE-2014-5030 (錯誤 #1128764)、CVE-2014-5031 (錯誤 #1128767)。

- 修正已驗證使用者的 conf/log 檔案讀取 (STR #4461)。

- 修正 CGI 處理 (STR #4454、錯誤 #1120419)。

- 修正 CVE-2014-3537 的修補程式 (錯誤 #1117794)

- CVE-2014-2856：跨網站指令碼瑕疵 (錯誤 #1117798)

- CVE-2014-3537：檢查不足導致權限提升 (錯誤 #1117794)

- 移除套件描述變更。

- 套用修補程式，以修正在 httpSetTimeout 中新增所致的「錯誤的要求」錯誤 (STR #4440，亦屬於 svn 修訂版 9967 的一部分)。

- 修正沒有資料就緒時 cupsd 讀取的逾時問題 (錯誤 #1110045)。

- 修正 synconclose 修補程式，以免出現「格式引數過多」警告。

- 修正 settimeout 修補程式，納入 fmod 宣告的 math.h。

- 修正讓 Web 介面無法變更驅動程式的錯字 (錯誤 #1104483、STR #3601)。

- 修正 SyncOnClose 修補程式 (錯誤 #984883)。

- 使用上游修補程式，避免重新執行 GSS 認證 (錯誤 #1040293)。

- 避免整個暫停/恢復的 BrowsePoll 問題 (錯誤 #769292)：

- 消除回應的無限期等待 (svn 修訂版 9688)。

- 從 CUPS 1.5 反向移植 httpSetTimeout API 函式並在 ipp 後端中使用，所以我們會在印表機回應、遇到重大錯誤或作業取消前無限期等待。

- cups-polld：發生錯誤時重新連線。

- 新增 SyncOnClose 指示詞，以在將組態 files: 預設改為「是」後使用 fsync。在 cupsd.conf 中進行調整 (錯誤 #984883)。

- 修正 cupsctl 手冊頁錯字 (錯誤 #1011076)。

- 針對條件式 php 構建使用更多的可攜式 rpm 規格檔語法 (錯誤 #988598)。

- 修正 cupsd.conf 中的 SetEnv 指示詞 (錯誤 #986495)。

- 修正 ‘collection’ 屬性的傳送 (錯誤 #978387)。

- 避免 format_log 分割錯誤 (錯誤 #971079)。

- 避免字串集區損毀 (錯誤 #884851)。

- 當作業將逾時的印表機排入佇列時不會當機 (錯誤 #855431)。

- multipart 處理中斷的上游修補程式 (錯誤 #852846)。

- 以正確的權限安裝 /etc/cron.daily/cups (錯誤 #1012482)。

- 修正具有多個檔案和格式的作業 (錯誤 #972242)。

- 套用修補程式以修正 CVE-2012-5519 (SystemGroup 中或具有等同 polkit 權限的使用者提升權限)。這既可防止路徑在 /admin/conf/ 底下的 HTTP PUT 要求 (cupsd.conf 的要求除外)，亦可防止如變更特定組態指示詞 (如 PageLog 和 FileDevice) 的要求 (錯誤 #875898)。