Tietoja suojauspäivityksestä 2009-004

Tässä asiakirjassa kerrotaan suojauspäivitys 2009-004:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Suojauspäivitys 2009-004

• BIND

  CVE-ID: CVE-2009-0696

  Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan DNS-palvelimen odottamattoman toiminnan lopetuksen.

  Kuvaus: DNS-päivitysviestien käsittelyssä ollut logiikkaongelma saattoi aiheuttaa varmistustoiminnon käynnistymisen. Etähyökkääjä saattoi aiheuttaa katkoksen BIND-nimipalvelun toimintaan lähettämällä BIND-nimipalvelimeen haitallisen päivitysviestin. Ongelma vaikutti palvelimiin, jotka ovat yhden tai usean vyöhykkeen master-palvelimia, riippumatta siitä, ottavatko ne vastaan päivityksiä. BIND sisältyy Mac OS X:ään ja Mac OS X Serveriin, mutta ei ole oletusarvoisesti käytössä. Tämä päivitys korjaa ongelman hylkäämällä asianmukaisesti viestit, joiden tietuetyyppi on ANY, sen sijaan että ne aiheuttaisivat varmistustoiminnon käynnistämisen.