3 つのセキュリティの問題を修正するために hplip が更新されました：

- いくつかのローカルファイルは、予測可能な /tmp ファイル名の修正により、問題を上書きします。（CVE-2013-0200）

- hplip は、ローカルの権限昇格を引き起こす可能性がある安全でない polkit DBUS API（polkit-process 対象競合状態）を使用しました。（CVE-2013-4325）

- hplip は、（ハードコードされたファイル名 /tmp/hp-pkservice.log を介して）任意のファイルの作成/上書きを使用します。
 （CVE-2013-6402）

リモートホストは、GLSA-201406-27 で説明されている脆弱性の影響を受けます（polkit、Spice-Gtk、systemd、HPLIP、libvirt：権限昇格）

polkit には、プロセスが、suid または pkexec を通じて認証が完了する前にその UID/EUID を変更することを可能にする可能性がある競合状態があります。
 影響：

ローカルの攻撃者が、polkit が有効なアプリケーションを通じて suid または pkexec プロセスを開始する可能性があります。これにより、権限昇格や polkit 制限のバイパスが発生する可能性があります。
 回避策：

現時点で、既知の回避策はありません。

現已提供適用於 Red Hat Enterprise Linux 6 的更新版 hplip 套件，可修正一個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

hplip 套件內含 Hewlett-Packard Linux Imaging and Printing Project (HPLIP)，提供適用於 Hewlett-Packard 印表機與多功能週邊設備的驅動程式。

HPLIP 會透過 D-Bus API 就授權一事與 PolicyKit 通訊，而該 API 很容易造成爭用情形。這可導致繞過預定的 PolicyKit 授權。此更新將 HPLIP 修改為透過不容易造成爭用情形的其他 API，與 PolicyKit 進行通訊。(CVE-2013-4325)

建議所有 Samba 使用者皆升級至這些更新版套件，其中包含可更正此問題的反向移植修補程式。

此更新納入最新上游版本，並修正了 polkit 所用之驗證方法中的一個安全性問題。

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

hplip 已更新，修正了三個安全性問題：

- 修正某些透過可預測的 /tmp 檔案名稱之本機檔案覆寫問題。(CVE-2013-0200)

- hplip 使用不安全的 polkit DBUS API (polkit 處理程序主體爭用情形)，可導致本機權限提升。(CVE-2013-4325)

- hplip 使用任意檔案建立/覆寫 (透過硬式編碼的檔案名稱 /tmp/hp-pkservice.log)。
 (CVE-2013-6402)

遠端主機受到 GLSA-201406-27 中所述的弱點影響 (polkit、Spice-Gtk、systemd、HPLIP、libvirt：權限提升)

polkit 有一個爭用情形，其可能允許處理程序在完成驗證之前，透過 suid 或 pkexec 變更其 UID/EUID。
 影響：

本機攻擊者可透過 polkit 啟用的應用程式啟動 suid 或 pkexec 處理程序，其可導致權限提升或繞過 polkit 限制。
 因應措施：

目前尚無已知的因應措施。

ID	名稱	產品	系列	已發布	已更新	嚴重性
72277	SuSE 11.2/11.3 セキュリティ更新：hplip（SAT パッチ番号 8775/8777）	Nessus	SuSE Local Security Checks	2014/2/4	2021/1/19	medium
76271	GLSA-201406-27：polkit、Spice-Gtk、systemd、HPLIP、libvirt：権限昇格	Nessus	Gentoo Local Security Checks	2014/6/27	2021/1/6	high
70001	CentOS 6 : hplip (CESA-2013:1274)	Nessus	CentOS Local Security Checks	2013/9/20	2021/1/4	medium
70504	Fedora 18 : hplip-3.13.9-2.fc18 (2013-17112)	Nessus	Fedora Local Security Checks	2013/10/20	2021/1/11	medium
72277	SuSE 11.2 / 11.3 安全性更新：hplip (SAT 修補程式編號 8775 / 8777)	Nessus	SuSE Local Security Checks	2014/2/4	2021/1/19	medium
76271	GLSA-201406-27：polkit、Spice-Gtk、systemd、HPLIP、libvirt：權限提升	Nessus	Gentoo Local Security Checks	2014/6/27	2021/1/6	high

偵測

搜尋 Plugin

medium

high

medium

medium

medium

high