Tietoja Mac OS X 10.5.1 -päivityksen turvallisuussisällöstä (asiakas- ja palvelinversio)
Tässä asiakirjassa kerrotaan asetusten Ohjelmiston päivitys -kohdasta tai Applen lataussivustosta ladattavan ja asennettavan Mac OS X 10.5.1 -päivityksen (asiakas- ja palvelinversio) turvallisuussisällöstä.
Apple haluaa suojella asiakkaitaan eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Mac OS X 10.5.1 -päivitys
Appipalomuuri
CVE-ID: CVE-2007-4702
Saatavuus: Mac OS X 10.5, Mac OS X Server 10.5
Vaikutus: palomuurin Estä kaikki saapuvat yhteydet -asetus oli harhaanjohtava.
Kuvaus: appipalomuurin Estä kaikki saapuvat yhteydet -asetus salli kaikkien root-käyttäjätunnuksella (UID 0) toimivien prosessien vastaanottaa saapuvia yhteyksiä. Lisäksi mDNSResponder pystyi vastaanottamaan yhteyksiä. Tämä saattoi johtaa verkkopalveluiden odottamattomaan altistumiseen. Päivitys ratkaisee ongelman nimeämällä valinnan tarkemmin (Salli vain välttämättömät palvelut) ja rajoittamalla prosesseja, jotka saavat vastaanottaa saapuvia yhteyksiä tämän asetuksen ollessa voimassa pieneen, kiinteästi määritettyyn järjestelmäpalveluiden joukkoon, johon kuuluvat configd (DHCP ja muut verkonmääritysprotokollat), mDNSResponder (Bonjour) ja racoon (IPSec). Myös appipalomuurin ohjesisältö päivitetään antamaan tarkemmat tiedot. Ongelma ei koske Mac OS X 10.5 -käyttöjärjestelmää vanhempia järjestelmiä.
Appipalomuuri
CVE-ID: CVE-2007-4703
Saatavuus: Mac OS X 10.5, Mac OS X Server 10.5
Vaikutus: root-käyttäjätunnuksella (UID 0) toimivia prosesseja ei voitu estää, kun palomuurin asetuksena oli Määritä käyttöoikeus tietyille palveluille ja ohjelmille.
Kuvaus: appipalomuurin Määritä käyttöoikeus tietyille palveluille ja ohjelmille -asetus salli root-käyttäjätunnuksella (UID 0) toimivien prosessien vastaanottaa saapuvia yhteyksiä, vaikka niiden suoritustiedostot olisi nimenomaisesti lisätty ohjelmaluetteloon merkinnällä Estä saapuvat yhteydet. Tämä saattoi johtaa verkkopalveluiden odottamattomaan altistumiseen. Päivitys korjaa ongelman siten, että kaikki näin merkityt suorituskelpoiset tiedostot estetään. Ongelma ei koske Mac OS X 10.5 -käyttöjärjestelmää vanhempia järjestelmiä.
Appipalomuuri
CVE-ID: CVE-2007-4704
Saatavuus: Mac OS X 10.5, Mac OS X Server 10.5
Vaikutus: appipalomuurin asetusten muutokset eivät vaikuttaneet launchd:n käynnistämiin prosesseihin, ennen kuin prosessit käynnistettiin uudelleen.
Kuvaus: Kun appipalomuurin asetuksia muutettiin, muutos ei vaikuttanut launchd:n käynnistämiin prosesseihin, ennen kuin prosessit käynnistettiin uudelleen. Käyttäjä saattoi olettaa muutosten astuvan voimaan välittömästi ja saattoi altistaa järjestelmän verkkoyhteyden kautta tapahtuville hyökkäyksille ennen muutosten voimaantuloa. Päivitys korjaa ongelman siten, että muutokset astuvat voimaan välittömästi. Ongelma ei koske Mac OS X 10.5 -käyttöjärjestelmää vanhempia järjestelmiä.