Om sikkerhedsopdatering 2008-007

I dette dokument beskrives sikkerhedsopdatering 2008-007, som kan downloades og installeres via indstillingerne for Softwareopdatering eller fra Apple-overførsler.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer."

Sikkerhedsopdatering 2008-007

  • Apache

    • CVE-id: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    • Fås til: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Effekt: Flere sårbarheder i Apache 2.2.8

    • Beskrivelse: Apache er opdateret til version 2.2.9 for at løse flere problemer med sårbarheder, hvoraf de mest alvorlige kan medføre forfalskning af anmodninger på tværs af websteder. Apache version 2 følger ikke med Mac OS X-klientsystemer før version 10.5. Apache version 2 følger med Mac OS X Server v10.4.x-systemer, men er ikke aktiveret som standard. Du kan finde flere oplysninger på Apache-webstedet på http://httpd.apache.org/

  • Certificates

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Effekt: Rodcertifikater er blevet opdateret

    • Beskrivelse: Flere godkendte certifikater er føjet til listen over systemrødder. Flere eksisterende certifikater blev opdateret til deres nyeste version. Du kan se en komplet liste over registrerede systemrødder via appen Hovednøglering.

  • ClamAV

    • CVE-id: CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

      Fås til: Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Effekt: Flere sårbarheder i ClamAV 0.93.3

    • Beskrivelse: Der er flere sårbarheder i ClamAV 0.93.3, hvoraf de mest alvorlige kan medføre kørsel af vilkårlig kode. Denne opdatering løser problemerne ved at opdatere til ClamAV 0.94. ClamAV følger ikke med Mac OS X-klientsystemer. Du kan finde yderligere oplysninger på ClamAV-webstedet på http://www.clamav.net/

  • ColorSync

    • CVE-id: CVE-2008-3642

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Effekt: Visning af et skadeligt billede kan medføre pludselig applukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der er et problem med bufferoverløb i håndteringen af billeder med en integreret ICC-profil. Åbning af et skadeligt billede med en indlejret ICC-profil kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet ved at udføre yderligere validering af ICC-profiler i billeder. Tak til: Apple.

  • CUPS

    • CVE-id: CVE-2008-3641

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Effekt: En ekstern hacker kan forårsage kørsel af vilkårlig kode med 'lp'-brugerens rettigheder

    • Beskrivelse: Der er et problem med kontrol af rækkevidde i HPGL-filteret (Hewlett-Packard Graphics Language), som kan medføre, at vilkårlig hukommelse overskrives med kontrollerede data. Hvis printerdeling er aktiveret, kan en ekstern hacker forårsage kørsel af vilkårlig kode med "lp"-brugerens rettigheder. Hvis printerdeling ikke er aktiveret, kan en lokal bruger muligvis få ekstra rettigheder. Denne opdatering løser problemet ved at udføre yderligere tjek af grænser. Tak til regenrecht, der arbejder med TippingPoints Zero Day Initiative, for at have rapporteret problemet.

  • Finder

    • CVE-id: CVE-2008-3643

    • Fås til: Mac OS X v10.5.5, Mac OS X Server v10.5.5

      Effekt: Et arkiv på skrivebordet kan forårsage et DoS-angreb

    • Beskrivelse: Der er et problem med afhjælpning af fejl i Finder. Et skadeligt arkiv på skrivebordet, som får Finder til uventet at lukke, når dets symbol genereres, vil få Finder til konstant at lukke og genstarte. Indtil arkivet er fjernet, er brugerkontoen ikke tilgængelig via Finders brugergrænseflade. Denne opdatering løser problemet ved at generere symboler i en separat proces. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.5. Tak til Sergio "shadown" fra n.runs AG, som har rapporteret problemet.

  • launchd

    • Effekt: Det lykkes muligvis ikke apps at åbne en sandbox, når de bliver bedt om det

    • Fås til: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Beskrivelse: Denne opdatering løser et problem, der blev introduceret i Mac OS X v10.5.5. Et implementeringsproblem i launchd kan medføre, at en apps anmodning om at åbne en sandbox mislykkes. Dette problem påvirker ikke programmer, der bruger den dokumenterede sandbox_init API. Denne opdatering løser problemet ved at levere en opdateret version af launchd. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.5.5.

  • libxslt

    • CVE-id: CVE-2008-1767

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Effekt: Behandling af et XML-dokument kan medføre pludselig applukning eller kørsel af vilkårlig kode

      Beskrivelse: Der er et problem med heap-bufferoverløb i libxslt-biblioteket. Visning af en skadelig HTML-side kan medføre pludselig applukning eller kørsel af vilkårlig kode. Der findes flere oplysninger om den anvendte programrettelse på http://xmlsoft.org/XSLT/ Tak til Anthony de Almeida Lopes fra Outpost24 AB og Chris Evans fra Google Security Team, som har rapporteret problemet.

  • MySQL Server

    • CVE-id: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    • Fås til: Mac OS X Server v10.5.5

      Effekt: Flere sårbarheder i MySQL 5.0.45

    • Beskrivelse: MySQL er opdateret til version 5.0.67 for at løse flere problemer med sårbarheder, hvoraf de mest alvorlige kan medføre kørsel af vilkårlig kode. Disse problemer påvirker kun Mac OS X Server-systemer. Du kan finde flere oplysninger på MySQLs websted på http://dev.mysql.com/doc/refman/5.0/en/news-5-0-67.html

  • Networking

    • CVE-id: CVE-2008-3645

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Effekt: En lokal bruger kan få systemrettigheder

    • Beskrivelse: Der er et heap-bufferoverløb i den lokale IPC-komponent i configds EAPOLController-tilbehør, som kan tillade, at en lokal bruger tilegner sig systemrettigheder. Denne opdatering løser problemet via forbedret kontrol af grænser. Tak til: Apple.

  • PHP

    • CVE-id: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Effekt: Flere sårbarheder i PHP 4.4.8

    • Beskrivelse: PHP er opdateret til version 4.4.9 for at løse flere problemer med sårbarheder, hvoraf de mest alvorlige kan medføre kørsel af vilkårlig kode. Yderligere oplysninger er tilgængelige på PHP-webstedet på http://www.php.net/ Disse problemer påvirker kun systemer med Mac OS X v10.4.x, Mac OS X Server v10.4.x eller Mac OS X Server v10.5.x.

  • Postfix

    • CVE-id: CVE-2008-3646

    • Fås til: Mac OS X v10.5.5

      Effekt: En ekstern hacker kan muligvis sende e-mail direkte til lokale brugere

    • Beskrivelse: Der er et problem i Postfix-konfigurationsarkiverne. I et tidsrum på et minut efter, at et lokalt kommandolinjeværktøj sender en e-mail, er Postfix tilgængelig fra netværket. I dette tidsrum kan en ekstern enhed, der har kunnet oprette forbindelse til SMTP-porten, sende en e-mail til lokale brugere og på anden vis bruge SMTP-protokollen. Dette problem medfører ikke, at systemet er et åbent e-mailrelæ. Dette problem løses ved at ændre Postfix-konfigurationen for at forhindre SMTP-forbindelser fra eksterne maskiner. Dette problem påvirker ikke systemer før Mac OS X v10.5 og påvirker ikke Mac OS X Server. Tak til Pelle Johansson, som har rapporteret problemet.

  • PSNormalizer

    • CVE-id: CVE-2008-3647

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Effekt: Visning af et skadeligt PostScript-billede kan medføre pludselig applukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der er et bufferoverløb i PSNormalizers håndtering af kommentaren i tekstfelter i PostScript-arkiver. Visning af et skadeligt PostScript-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet ved at udføre yderligere validering af PostScript-arkiver.

    • Tak til: Apple.

  • QuickLook

    • CVE-id: CVE-2008-4211

    • Fås til: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Effekt: Download eller visning af et skadeligt Microsoft Excel-arkiv kan medføre pludselig applukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der er et signedness-problem i QuickLooks håndtering af kolonner i Microsoft Excel-arkiver, som muligvis kan give adgang til out-of-bounds-hukommelse. Download eller visning af et skadeligt Microsoft Excel-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet ved at udføre yderligere validering af Microsoft Excel-arkiver. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.5. Tak til: Apple.

  • rlogin

    • CVE-id: CVE-2008-4212

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Effekt: Systemer, der manuelt er konfigureret til at bruge rlogin og host.equiv, kan uventet tillade rodlogin

    • Beskrivelse: manpage for konfigurationsarkivet hosts.equiv viser, at poster ikke gælder for roden. Et implementeringsproblem i rlogind medfører dog, at disse poster også gælder for root. Denne opdatering løser problemet ved korrekt at forhindre rlogin fra root-brugeren, hvis det eksterne system er i hosts.equiv. rlogin-tjenesten er ikke aktiveret som standard i Mac OS X og skal konfigureres manuelt for at kunne aktiveres. Tak til Ralf Meyer, som har rapporteret problemet.

  • Script Editor

    • CVE-id: CVE-2008-4214

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Effekt: En lokal bruger kan muligvis få rettigheder tilhørende en anden bruger, der bruger Instruksværktøj

    • Beskrivelse: Der er et problem med usikre arkivhandlinger i appen Instruksværktøj, når ordbøgerne for appinstrukser åbnes. En lokal bruger kan få scripting-ordbogen til at blive skrevet til en vilkårlig sti, der er tilgængelig for den bruger, der kører programmet. Denne opdatering løser problemet ved at oprette det midlertidige arkiv på en sikker placering. Tak til: Apple.

  • Single Sign-On

    • Fås til: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Effekt: Kommandoen sso_util accepterer nu adgangskoder fra et arkiv

    • Beskrivelse: Kommandoen sso_util accepterer nu adgangskoder fra et arkiv, der er navngivet i miljøvariablen SSO_PASSWD_PATH. Dette gør det muligt for automatiserede scripts at bruge sso_util mere sikkert.

  • Tomcat

    • CVE-id: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    • Fås til: Mac OS X Server v10.5.5

    • Effekt: Flere sårbarheder i Tomcat 6.0.14

    • Beskrivelse: Tomcat på Mac OS X v10.5-systemer er opdateret til version 6.0.18 for at løse flere problemer med sårbarheder, hvoraf de mest alvorlige kan medføre et scripting-angreb på tværs af websteder. Disse problemer påvirker kun Mac OS X Server-systemer. Du kan finde yderligere information via Tomcat-webstedet på http://tomcat.apache.org/

  • vim

    • CVE-id: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    • Fås til: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Effekt: Flere sårbarheder i vim 7.0

    • Beskrivelse: Der er flere sårbarheder i vim 7.0, hvoraf de mest alvorlige kan medføre kørsel af vilkårlig kode, når der arbejdes med skadelige arkiver. Denne opdatering løser problemerne ved at opdatere til vim 7.2.0.22. Du kan finde yderligere oplysninger på vim-webstedet på http://www.vim.org/

  • Weblog

    • CVE-id: CVE-2008-4215

    • Fås til: Mac OS X Server v10.4.11

    • Effekt: Adgangskontrol til weblogindlæg anvendes muligvis ikke

    • Beskrivelse: Der er en ikke-kontrolleret fejltilstand på weblogserveren. Tilføjelse af en bruger med flere korte navne til adgangskontrollisten for et weblogindlæg kan medføre, at weblogserveren ikke anvender adgangskontrollen. Dette problem løses ved at forbedre måden, som adgangskontrollister gemmes på. Dette problem berører kun systemer med Mac OS X Server v10.4. Tak til: Apple.

Udgivelsesdato: