CVE-2023-4504
21.09.2023, 23:15
Due to failure in validating the length provided by an attacker-crafted PPD PostScript document, CUPS and libppd are susceptible to a heap-based buffer overflow and possibly code execution. This issue has been fixed in CUPS version 2.4.7, released in September of 2023.Enginsight
Affected Products (NVD)
| Vendor | Product | Version |
|---|---|---|
| openprinting | cups | 𝑥 < 2.4.7 |
| openprinting | libppd | 2.0:rc2 |
| debian | debian_linux | 10.0 |
𝑥
= Vulnerable software versions
Debian Releases
Ubuntu Releases
Ubuntu Product | |||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| cups |
| ||||||||||||||||||
| libppd |
|
openSUSE / SLES Releases
openSUSE Product | |||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| cups |
| ||||||||||||||||||||||||||||||||||||||||||||||
| cups-client |
| ||||||||||||||||||||||||||||||||||||||||||||||
| cups-config |
| ||||||||||||||||||||||||||||||||||||||||||||||
| cups-ddk |
| ||||||||||||||||||||||||||||||||||||||||||||||
| cups-devel |
| ||||||||||||||||||||||||||||||||||||||||||||||
| cups-libs |
| ||||||||||||||||||||||||||||||||||||||||||||||
| cups-libs-32bit |
| ||||||||||||||||||||||||||||||||||||||||||||||
| libcups2 |
| ||||||||||||||||||||||||||||||||||||||||||||||
| libcups2-32bit |
| ||||||||||||||||||||||||||||||||||||||||||||||
| libcupscgi1 |
| ||||||||||||||||||||||||||||||||||||||||||||||
| libcupsimage2 |
| ||||||||||||||||||||||||||||||||||||||||||||||
| libcupsmime1 |
| ||||||||||||||||||||||||||||||||||||||||||||||
| libcupsppdc1 |
|
Common Weakness Enumeration
- CWE-122 - Heap-based Buffer OverflowA heap overflow condition is a buffer overflow, where the buffer that can be overwritten is allocated in the heap portion of memory, generally meaning that the buffer was allocated using a routine such as malloc().
- CWE-787 - Out-of-bounds WriteThe software writes data past the end, or before the beginning, of the intended buffer.
References