关于 Mac OS X 10.5.1 Update（客户端和服务器）的安全性内容

本文介绍了 Mac OS X 10.5.1 Update（客户端和服务器）的安全性内容，可以通过“软件更新”偏好设置或从 Apple 下载网站进行下载和安装。

为了保护我们的客户，在进行详尽调查并推出任何必要的修补程序或发行版之前，Apple 不会透露、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

如需了解其他安全性更新，请参阅“Apple 安全性更新”。

Mac OS X v10.5.1 Update

应用程序防火墙

CVE-ID：CVE-2007-4702

适用于：Mac OS X v10.5、Mac OS X Server v10.5

影响：防火墙的“阻止所有传入连接”设置具有误导性。

描述：应用程序防火墙的“阻止所有传入连接”设置允许所有以“root”(UID 0) 用户身份运行的进程接收传入的连接，并且允许 mDNSResponder 接收连接。这可能会导致意外暴露网络服务。此更新通过将该选项更准确地描述为“仅允许必要的服务”，并将允许在此设置下接收传入连接的进程限制到如下少数几个固定的系统服务，解决了这个问题：configd（适用于 DHCP 和其他网络配置协议）、mDNSResponder（适用于 Bonjour）以及 racoon（适用于 IPSec）。应用程序防火墙的“帮助”内容也有所更新，可提供进一步的信息。此问题不影响 Mac OS X v10.5 之前的系统。

应用程序防火墙

CVE-ID：CVE-2007-4703

适用于：Mac OS X v10.5、Mac OS X Server v10.5

影响：当防火墙设置为“设定特定服务和应用程序的访问”时，不能阻止以“root”(UID 0) 用户身份运行的进程。

描述：应用程序防火墙的“设定特定服务和应用程序的访问”设置允许所有以“root”(UID 0) 用户身份运行的进程接收传入的连接，即使是将其可执行文件专门添加到程序列表，并将其在列表中的条目标记为“阻止传入连接”。这可能会导致意外暴露网络服务。此更新更正了这个问题，从而能阻止任何如此标记的可执行文件。此问题不影响 Mac OS X v10.5 之前的系统。

应用程序防火墙

CVE-ID：CVE-2007-4704

适用于：Mac OS X v10.5、Mac OS X Server v10.5

影响：由 launchd 启动的进程在重新启动之前，不会受到应用程序防火墙设置更改的影响。

描述：在更改了应用程序防火墙设置后，由 launchd 启动的运行进程在重新启动前不会受到影响。用户可能以为更改会立即生效，因而致使系统可能遭受网络访问安全问题。此更新更正了这个问题，使所做更改可立即生效。此问题不影响 Mac OS X v10.5 之前的系统。