À propos de Security Update 2008-007

Security Update 2008-007

• Apache

  Références CVE : CVE-2008-6420, CVE-2008-1678, CVE-2007-2364

  Disponible pour : Mac OS X 10.5.5 et Mac OS X Server 10.5.5

  Impact : Apache 2.2.8 comporte plusieurs vulnérabilités.

  Description : la mise à jour 2.2.9 d'Apache a pour but de résoudre plusieurs vulnérabilités, dont la plus grave peut conduire à la falsification d'une requête inter-site. Avant la version 10.5, les systèmes Mac OS X Client ne comportaient pas Apache 2. Ce serveur web est intégré aux systèmes Mac OS X Server 10.4.x mais n'est pas actif par défaut. Pour en savoir plus, consultez le site web d'Apache à l’adresse http://httpd.apache.org/

• Certificats

  Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5 et Mac OS X Server 10.5.5

  Impact : des certificats racines ont été mis à jour.

  Description : plusieurs certificats de confiance ont été ajoutés à la liste de racines du système. Plusieurs certificats ont été mis à jour avec leur version la plus récente. L'application Keychain Access permet d'afficher la liste complète des racines système reconnues.

• ClamAV

  Références CVE : CVE-1389, CVE-2008-, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

  Disponible pour : Mac OS X Server 10.4.11 et Mac OS X Server 10.5.5

  Impact : ClamAV 0.93.3 comporte plusieurs vulnérabilités.

  Description : ClamAV 0.93.3 présente plusieurs vulnérabilités, la plus grave pouvant conduire à l'exécution de code quelconque. Pour y remédier, cette mise à jour installe ClamAV 0.94. ClamAV n'est pas intégré aux systèmes Mac OS X Client. Vous trouverez des informations supplémentaires sur le site web de ClamAV, à l’adresse http://www.clamav.net.

• ColorSync

  Référence CVE : CVE-2008-3642

  Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5 et Mac OS X Server 10.5.5

  Impact : l'affichage d'une image malveillante peut conduire à un blocage inattendu d'application ou à l'exécution de code quelconque.

  Description : la gestion d'images avec un profil ICC intégré présente un dépassement de tampon. L’ouverture d’une image construite de manière malveillante avec un profil ICC associé peut conduire à un arrêt inopiné de l’application ou à l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires de profils ICC sur les images. Source : Apple

• CUPS

  Référence CVE : CVE-2008-3641

  Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

  Impact : un attaquant peut exécuter à distance du code arbitraire avec les privilèges de l'utilisateur « lp ».

  Description : le filtre Hewlett-Packard Graphics Language (HPGL) comporte un problème de contrôle d'intervalle qui risque d'écraser la mémoire avec des données contrôlées. Si le partage d'imprimantes est activé, un attaquant peut exécuter à distance du code arbitraire avec les privilèges de l'utilisateur « lp ». Si le partage d’imprimantes n’est pas activé, un utilisateur local peut obtenir des privilèges d'administration. Cette mise à jour résout le problème en effectuant des contrôles supplémentaires de limitation des zones adressables. Nous remercions regenrecht, qui travaille avec TippingPoint et Zero Day Initiative, de nous avoir signalé ce problème.

• Finder

  Référence CVE : CVE-2008-3643

  Disponible pour : Mac OS X 10.5.5 et Mac OS X Server 10.5.5

  Impact : un fichier du Bureau peut provoquer un déni de service.

  Description : le Finder comporte un problème de récupération d'erreur. Un fichier malveillant du Bureau peut arrêter le Finder de manière inattendue lors de la génération de son icône, puis arrêter et redémarrer continuellement le Finder. Jusqu'à la suppression du fichier, le compte utilisateur n'est pas accessible via l'interface du Finder. Cette mise à jour résout le problème en générant les icônes dans un processus séparé. Ce risque n'existe pas dans les systèmes antérieurs à Mac OS X 10.5. Nous remercions Sergio « shadown » Alvarez (de n.runs AG) de nous avoir signalé ce problème.

• launchd

  Disponible pour : Mac OS X 10.5.5 et Mac OS X Server 10.5.5

  Impact : certaines applications ne parviennent pas à accéder à un bac à sable lorsque cela est nécessaire.

  Description : cette mise à jour résout un problème de Mac OS X 10.5.5. Un problème d'implémentation de launchd peut empêcher une demande d'application d'accéder à un bac à sable. Ce problème ne concerne pas les programmes utilisant l'API sand_box documentée. Cette mise à jour de launchd a pour but de résoudre le problème décrit ici. Ce problème ne concerne pas les versions antérieures à Mac OS X 10.5.5.

• libxslt

  Référence CVE : CVE-2008-1767

  Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

  Impact : le traitement d’un document XML peut entraîner l'interruption inopinée d'une application ou l'exécution arbitraire de code.

  Description : la bibliothèque libxslt comporte un dépassement de tampon dans le tas. L'affichage d'une page HTML malveillante peut entraîner l'interruption inopinée d'une application ou l'exécution arbitraire de code. Pour en savoir plus sur le correctif appliqué, consultez le site web xmlsoft.org http://xmlsoft.org/XSLT/. Nous remercions Anthony de Almeida Lopes, d'Outpost24 AB, et Chris Evans, de l'équipe sécurité de Google, de nous avoir signalé ce problème.

• Serveur MySQL

  Références CVE : CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

  Disponible pour : Mac OS X Server 10.5.5

  Impact : il existe plusieurs vulnérabilités dans MySQL 5.0.45.

  Description : la mise à jour 5.0.67 de MySQL résout plusieurs vulnérabilités, la plus importante pouvant conduire à l’exécution arbitraire de code. Ces problèmes ne concernent que les systèmes Mac OS X Server. Pour en savoir plus, consultez le site web de MySQL, à l'adresse http://dev.mysql.com/doc/refman/5.0/en/releasenotes-cs-5-0-67.html (en anglais).

• Réseau

  Référence CVE : CVE-2008-3645

  Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

  Impact : un utilisateur local peut obtenir des privilèges système.

  Description : le module EAPOLC du composant IPC local de configd présente un dépassement de mémoire tampon dans le tas pouvant permettre à un utilisateur de bénéficier de privilèges système. Cette mise à jour résout le problème par des contrôles de limitation améliorés. Source : Apple

• PHP

  Références CVE : CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

  Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X Server 10.5.5

  Impact : il existe plusieurs vulnérabilités dans PHP 4.4.8.

  Description : la mise à jour 4.4.9 de PHP résout plusieurs vulnérabilités, la plus importante pouvant conduire à l’exécution arbitraire de code. Vous trouverez des informations supplémentaires sur le site web de PHP, à l’adresse http://www.php.net/. Ces problèmes n'affectent que les systèmes sous Mac OS X 10.4, Mac OS X Server 10.4.x ou Mac OS X Server 10.5.x.

• Postfix

  Référence CVE : CVE-2008-3646

  Disponible pour : Mac OS X 10.5.5

  Impact : un attaquant distant peut envoyer du courrier directement à des utilisateurs locaux.

  Description : les fichiers de configuration de Postfix comportent un problème. Postfix est accessible à partir du réseau dans un délai d'une minute après l'envoi de courrier à l'aide d'un outil local de ligne de commande. Pendant cette période, une entité distante ayant accès à un port SMTP pourrait envoyer du courrier à des utilisateurs locaux et employer le protocole SMTP. Ce problème n'a pas pour effet de transformer le système en relais de messagerie ouvert. Il est procédé à la modification de la configuration Postfix pour empêcher les connexions SMTP à partir d'ordinateurs distants. Ce problème n'existe pas dans les versions antérieures à Mac OS X 10.5 et ne concerne pas Mac OS X Server. Nous remercions Pelle Johansson de nous avoir signalé ce problème.

• PSNormalizer

  Référence CVE : CVE-2008-3647

  Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

  Impact : l'ouverture d'un fichier PostScript malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code.

  Description : la gestion par PsNormalizer du commentaire en forme de rectangle englobant dans les fichiers PostScript présente un dépassement de tampon. L'affichage d'un fichier PostScript malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les fichiers PostScript. Source : Apple

• QuickLook

  Référence CVE : CVE-2008-4211

  Disponible pour : Mac OS X 10.5.5 et Mac OS X Server 10.5.5

  Impact : le téléchargement ou l'affichage d'un fichier Microsoft Excel malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code.

  Description : un problème identifié survenant lors de la gestion de colonnes de fichiers Microsoft Excel par QuickLook peut mener à un accès mémoire hors limites. Impact :le téléchargement ou l'affichage d'un fichier Microsoft Excel malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les fichiers Microsoft Excel. Ce problème est absent des versions antérieures à Mac OS X 10.5.

• rlogin

  CVE-ID : CVE-2008-4212

  Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

  Impact : les systèmes dont la configuration manuelle permet l'utilisation de rlogin et de host.equiv peuvent autoriser par erreur une ouverture de session root.

  Description : reportez-vous à la page man du fichier de configuration hosts.equiv pour savoir quelles entrées ne concernent pas l'utilisateur root. Cependant, un problème d'implémentation de rlogind peut appliquer ces entrées à l'utilisateur root. Cette mise à jour résout le problème en interdisant l'exécution de rlogin à l'utilisateur root si le système distant emploie une configuration hosts.equiv. Le service rlogin n'est pas activé par défaut dans Mac OS X et son activation doit être configurée manuellement. Nous remercions Ralf Meyer de nous avoir signalé ce problème.

• Éditeur de scripts

  Référence CVE : CVE-2008-4214

  Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

  Impact : un utilisateur local peut bénéficier des privilèges d'un autre utilisateur ayant ouvert l'Éditeur de scripts.

  Description: l'application Éditeur de scripts comporte une opération de fichier dangereuse lors de l'ouverture de dictionnaires de scriptage. Un utilisateur peut mettre à jour le dictionnaire de scriptage dans un répertoire arbitraire accessible par l'utilisateur qui exécute l'application. Cette mise à jour résout le problème en créant le fichier temporaire dans un emplacement sûr. Source : Apple

• Ouverture de session unique

  Disponible pour : Mac OS X 10.5.5 et Mac OS X Server 10.5.5

  Impact : la commande sso_util accepte désormais les mots de passe issus d'un fichier.

  Description : la commande sso_util accepte désormais les mots de passe issus d'un fichier nommé dans la variable d'environnement SSO_PASSWD_PATH. Des scripts automatiques peuvent ainsi utiliser la commande sso_util de façon plus sûre.

• Tomcat

  Références CVE : CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461-5461

  Disponible pour : Mac OS X Server 10.5.5

  Impact : Tomcat 6.0.14 possède plusieurs vulnérabilités.

  Description : Tomcat sous Max OS X 10.5 est mis à jour·avec la version 6.0.18 afin de·corriger plusieurs vulnérabilités, dont la plus sérieuse peut provoquer·une attaque de type scriptage intersite. Ces problèmes ne concernent que les systèmes Mac OS X Server. Pour en savoir plus, consultez le site de Tomcat, à l'adresse http://tomcat.apache.org/.

• vim

  Références CVE : CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

  Disponible pour : Mac OS X 10.5.5 et Mac OS X Server 10.5.5

  Impact : vim 7.0 comporte plusieurs vulnérabilités.

  Description : vim 7.0 comporte plusieurs vulnérabilités dont la plus grave peut mener à l'exécution arbitraire de code lors de l'accès à des données de police malveillantes. Cette mise à jour résout le problème en mettant à jour vim 7.2.0.22. Pour en savoir plus, consultez le site web de vim, à l'adresse http://www.vim.org/.

• Weblog

  Référence CVE : CVE-2008-4215

  Disponible pour : Mac OS X Server 10.4.11

  Impact : il n'est pas possible d'appliquer le contrôle d'accès sur les publications d'articles weblog.

  Description : le serveur de weblog présente une condition d'erreur non contrôlée. Lors de la publication d'un article weblog, l'ajout d'un utilisateur possédant plusieurs noms abrégés dans la liste de contrôle d'accès peut avoir pour effet de désactiver le contrôle d'accès sur le serveur Weblog. Ce problème est résolu par l'amélioration de l'enregistrement des listes de contrôle d'accès. Il ne concerne que les systèmes sous Mac OS X Server 10.4. Source : Apple.