Sprachen

Über das Sicherheits-Update 2005-003

In diesem Dokument wird das Sicherheits-Update 2005-003 beschrieben, das mithilfe der Option Software-Aktualisierung oder über Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsvorfälle von Apple nicht veröffentlicht, diskutiert oder bestätigt, bis eine vollständige Untersuchung stattgefunden hat und die notwendigen Patches oder Releases zur Verfügung stehen. Weitere Informationen zu Apples Produktsicherheit finden Sie auf der Website Apple Product Security.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

CVE IDs werden für die Bezugnahme auf die Schwachstellen in weiteren Informationen verwendet, wo dies möglich ist.

Informationen zu weiteren Sicherheits-Updates finden Sie hier: "Apple Sicherheit-Updates".

Sicherheits-Update 2005-003

  • AFP-Server
    Verfügbar für: Mac OS X v10.3.8, Mac OS X Server v10.3.8
    CVE-ID: CAN-2005-0340
    Auswirkung: Ein auf eine bestimmte Weise hergestelltes Paket kann einen Denial of Service-Angriff auf den AFP-Server auslösen.
    Beschreibung: Ein auf bestimmte Weise hergestelltes Paket beendet den Betrieb des AFP-Servers aufgrund einer inkorrekten Speicherreferenz. Dank an Braden Thomas, der dieses Problem gemeldet hat.
  • AFP-Server
    Verfügbar für: Mac OS X v10.3.8, Mac OS X Server v10.3.8
    CVE-ID: CAN-2005-0715
    Auswirkung: Der Inhalt einer Drop Box kann eingesehen werden.
    Beschreibung: Korrigiert die Überprüfung von Dateiberechtigungen für den Zugriff auf Drop Boxes. Dank an John M. Glenn aus San Francisco, der dieses Problem gemeldet hat.
  • Bluetooth Setup Assistant
    Verfügbar für: Mac OS X 10.3.8, Mac OS X Server 10.3.8
    CVE-ID: CAN-2005-0713
    Auswirkung: Lokale Umgehung der Sicherheitsvorkehrungen bei Verwendung eines Bluetooth-Eingabegeräts.
    Beschreibung: Der Bluetooth Setup Assistant kann auf Systemem ohne Tastatur oder vorkonfiguriertes Bluetooth-Eingabegerät gestartet werden. In diesen Fällen wurde der Zugriff auf bestimmte privilegierte Funktionen innerhalb des Bluetooth Setup Assistant deaktiviert.
  • Core Foundation
    Verfügbar für: Mac OS X v10.3.8, Mac OS X Server v10.3.8
    CVE-ID: CAN-2005-0716
    Auswirkung: Pufferüberlauf über eine Umgebungsvariable.
    Beschreibung: Die inkorrekte Handhabung einer Umgebungsvariablen innerhalb von Core Foundation kann zu einem Pufferüberlauf führen, der zur Ausführung willkürlichen Codes verwendet werden könnte. Dieses Problem wurde durch korrekte Handhabung der Umgebungsvariablen gelöst. Dank an iDEFENSE und Adriano Lima von SeedSecurity.com, die dieses Problem gemeldet haben.
  • Cyrus IMAP
    Verfügbar für: Mac OS X Server v10.3.8
    CVE-ID: CAN-2004-1011, CAN-2004-1012, CAN-2004-1013, CAN-2004-1015, CAN-2004-1067
    Auswirkung: Mehrere Schwachstellen in Cyrus IMAP, einschließlich Denial of Service und Pufferüberläufe, die von außerhalb ausgenutzt werden können.
    Beschreibung: Cyrus IMAP wird auf Version 2.2.12 aktualisiert. Dadurch werden die Pufferüberläufe in fetchnews, backend, proxyd und imapd behoben. Weitere Informationen erhalten Sie hier: http://asg.web.cmu.edu/cyrus/download/imapd/changes.html.
  • Cyrus SASL
    Verfügbar für: Mac OS X v10.3.8, Mac OS X Server v10.3.8
    CVE-ID: CAN-2002-1347, CAN-2004-0884
    Auswirkung: Mehrere Schwachstellen in Cyrus SASL, einschließlich entferntem Denial of Service und entfernte Code-Ausführung in Dateien, die diese Bibliothek verwenden.
    Beschreibung: Cyrus SASL wird aktualisiert, um verschiedene Sicherheitsschwachstellen zu beheben, die durch inkorrekte Datenvalidierung, Speicherzuweisung und Datenhandhabung entstanden waren.
  • Ordnerberechtigungen
    Verfügbar für: Mac OS X v10.3.8, Mac OS X Server v10.3.8
    CVE-ID: CAN-2005-0712
    Auswirkung: Weltweit beschreibbare Berechtigungen in verschiedenen Verzeichnissen, woduch möglicherweise Dateirennzustände oder lokale Privilegieneskalation ausgelöst werden könnte.
    Beschreibung: Sichere Ordnerberechtigungen werden zum Schutz der Beleg-Cache des Installationsprogramms und der ColorSync-Profile auf Systemebene angewendet. Dank an Eric Hall von DarkArt Consulting Services, Michael Haller (info@cilly.com) und (root at addcom.de), die dieses Problem gemeldet haben.
  • Mailman
    Verfügbar für: Mac OS X Server v10.3.8
    CVE-ID: CAN-2005-0202
    Auswirkung: Verzeichnistraversalproblem in Mailman, das den Zugriff auf beliebige Dateien ermöglichen könnte.
    Beschreibung: Mailman ist ein Software-Paket, mit dem Mailing-Listen verwaltet werden können. Mit diesem Update wird eine Schwachstelle in der Handhabung von Mailmans privaten Archiv behoben, über die entfernter Zugriff auf beliebige Dateien auf dem System möglich war. Weitere Informationen finden Sie hier: http://www.gnu.org/software/mailman/security.html.
  • Safari
    Verfügbar für: Mac OS X v10.3.8, Mac OS X Server v10.3.8
    CVE-ID: CAN-2005-0234
    Auswirkung: In böser Absicht registrierte International Domain Names (IDN) können URLs als legitime Websites erscheinen lassen.
    Beschreibung: Unterstützung von Unicode-Zeichen innerhalb von Domänennamen (International Domain Name-Support) kann dazu führen, dass in böser Absicht registrierte Domänennamen als legitime Websites erscheinen. Safari wurde so geändert, dass eine vom Benutzer definierte Liste von Skripten befragt wird, die nativ angezeigt werden dürfen. Zeichen, die auf Skripten basieren, welche nicht in der erlaubten Liste aufgeführt sind, werden als deren Punycode-Äquivalent angezeigt. Die Standardliste der erlaubten Skripte enthält keine Skripte, die den Roman-Skripten ähneln. Dank an Eric Johanson (ericj@shmoo.com), der dieses Problem gemeldet hat. Weitere Informationen finden Sie hier.
  • Samba
    Verfügbar für: Mac OS X v10.3.8, Mac OS X Server v10.3.8
    CVE-ID: CAN-2004-0882, CAN-2004-0930, CAN-2004-1154
    Auswirkung: Mehrere Schwachstellen in Samba, einschließlich entferntem Denial of Service und mögliche entfernte Ausführung von willkürlichen Befehlen.
    Beschreibung: Mehrere Sicherheitsschwachstellen wurden in den neuesten Versionen von Samba korrigiert. Mit Sicherheits-Update 2005-003 wird Version 3.0.10 von Samba installiert, in der diese Probleme behoben sind. Weitere Informationen finden Sie auf der Sicherheits-Website von Samba, die sich hier befindet: http://www.samba.org/samba/history/security.html
  • SquirrelMail
    Verfügbar für: Mac OS X Server v10.3.8
    CVE-ID: CAN-2004-1036, CAN-2005-0075, CAN-2005-0103, CAN-2005-0104
    Auswirkung: Mehrere Schwachstellen in Squirrelmail, einschließlich Cross-Site Scriptions und HTML-Injektion.
    Beschreibung: In SquirrelMail 1.4.4 werden verschiedene Sicherheitsprobleme behoben, einschließlich mehrerer Schwachstellen im Bereich Cross-Site-Scripting, sowie die Möglichkeit, webmail.php zum Hinzufügen von Webseiten von entfernten Servern zu verwenden. CAN-2005-0075 ist ein Problem, das in SquirrelMail 1.4.4 behoben wurde, das jedoch keinen Einfluss auf die Standardkonfiguration von Mac OS X Server hat, da "register_globals" nicht aktiviert ist. Weitere Informationen sind auf der SquirrelMail Sicherheits-Website erhältlich, die Sie hier finden: http://www.squirrelmail.org/changelog.php
  • Telnet
    Verfügbar für: Mac OS X v10.3.8, Mac OS X Server v10.3.8
    CVE-ID: CAN-2005-0468, CAN-2005-0469
    Auswirkung: Nicht-vertrauenswürdige Telnet-Server könnten lokale Code-Ausführung verursachen.
    Beschreibung: Dieses Update behebt zwei Pufferüberläufe im Telnet-Client, die zur Ausführung von lokalem Code durch einen nicht-vertrauenswürdigen Telnet-Server führen könnten. Dank an iDEFENSE, die dieses Problem gemeldet haben.

Wichtiger Hinweis: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden nur zu Informationszwecken bereitgestellt und stellen keine Empfehlung oder Billigung durch Apple dar. Bitte wenden Sie sich an den Händler, wenn Sie weitere Informationen benötigen.

Wichtiger Hinweis: Der Hinweis auf Web-Sites Dritter geschieht ausschließlich zu Informationszwecken und stellt weder eine Billigung noch eine Empfehlung dar. Apple übernimmt keine Verantwortung im Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Web-Sites Dritter angeboten werden. Apple stellt diese Informationen seinen Kunden nur als Serviceleistung zur Verfügung. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht getestet und macht keine Angaben im Bezug auf deren Korrektheit und Verlässlichkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken und Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Web-Sites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Web-Sites hat.

Zuletzt geändert: 26.05.2005

Zusätzliche Supportinformationen zum Produkt