À propos de la mise à jour de sécurité 2008-007
Ce document décrit la Mise à jour de sécurité 2008-007, qui peut être téléchargée et installée à l’aide des préférences de Mise à jour logicielle ou à partir de la page Téléchargements d’Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’articleComment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des renseignements supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Versions de sécurité d’Apple.
Mise à jour de sécurité 2008-007
Apache
Référence CVE : CVE-2007-6420, CVE-2008-1678, CVE-2008-2364
Disponible pour : Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : multiples vulnérabilités dans Apache 2.2.8
Description : Apache a été mis à jour vers la version 2.2.9 pour remédier à plusieurs vulnérabilités, la plus grave d’entre elles pouvant entraîner une falsification de requête intersites. Apache version 2 n’est pas livré avec les systèmes clients Mac OS X antérieurs à la version 10.5. Apache version 2 est livré avec les systèmes Mac OS X Server 10.4.x, mais n’est pas activé par défaut. Pour en savoir plus, consultez le site Web d’Apache à l’adresse http://httpd.apache.org/
Certificates
Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : les certificats racine ont été mis à jour
Description : plusieurs certificats de confiance ont été ajoutés à la liste des racines système. Plusieurs certificats existants ont été mis à jour vers la version la plus récente. La liste complète des racines du système reconnues peut être consultée dans l’app Trousseau d’accès.
ClamAV
Référence CVE : CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914
Disponible pour : Mac OS X Server v10.4.11, Mac OS X Server v10.5.5
Conséquence : multiples vulnérabilités dans ClamAV 0.93.3
Description : plusieurs vulnérabilités existent dans ClamAV 0.93.3, la plus grave d’entre elles pouvant entraîner l’exécution de code arbitraire. Cette mise à jour corrige les problèmes par une mise à jour vers ClamAV 0.94. ClamAV n’est pas livré avec les systèmes clients Mac OS X. Des renseignements supplémentaires sont disponibles sur le site Web de ClamAV à l’adresse http://www.clamav.net/
ColorSync
Référence CVE : CVE-2008-3642
Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : l’affichage d’une image malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire
Description : un dépassement de tampon existe dans le traitement des images avec un profil ICC intégré. L’ouverture d’une image malveillante ayant un profil ICC intégré peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour corrige le problème en effectuant une validation supplémentaire des profils ICC des images. Crédit : Apple.
CUPS
Référence CVE : CVE-2008-3641
Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : un attaquant à distance pourrait être en mesure de provoquer l’exécution de code arbitraire avec les privilèges de l’utilisateur 'lp'
Description : il existe un problème de vérification de plage dans le filtre du Langage Graphique Hewlett-Packard (HPGL), ce qui peut entraîner l’écrasement arbitraire de mémoire avec des données contrôlées. Si le partage d’imprimante est activé, un attaquant à distance peut être en mesure de provoquer l’exécution de code arbitraire avec les privilèges de l’utilisateur ’lp’. Si le partage d’imprimante n’est pas activé, un utilisateur local peut obtenir des privilèges accrus. Cette mise à jour corrige le problème en effectuant une vérification supplémentaire des limites. Nous remercions regenrecht, de l’équipe du programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.
Finder
Référence CVE : CVE-2008-3643
Disponible pour : Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : un fichier sur le bureau peut entraîner un déni de service
Description : un problème de reprise sur incident existe dans le Finder. Un fichier malveillant sur le Bureau qui provoque la fermeture inopinée du Finder lors de la génération de son icône entraînera la fermeture et le redémarrage continus du Finder. Tant que le fichier n’est pas supprimé, le compte d’utilisateur n’est pas accessible via l’interface utilisateur du Finder. Cette mise à jour corrige le problème en générant des icônes dans un processus distinct. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X 10.5. Nous remercions Sergio ’shadown’ Alvarez de n.runs AG d’avoir signalé ce problème.
launchd
Conséquence : les applications peuvent échouer à entrer dans un environnement de bac à sable lorsqu’elles sont appelées
Disponible pour : Mac OS X v10.5.5, Mac OS X Server v10.5.5
Description : cette mise à jour corrige un problème introduit dans Mac OS X v10.5.5. Un problème d’implémentation dans launchd peut entraîner l’échec de la demande d’une application pour entrer dans un environnement de bac à sable. Ce problème ne concerne pas les programmes qui utilisent l’API sandbox_init documentée. Cette mise à jour corrige le problème en fournissant une version mise à jour de launchd. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5.5.
libxslt
Référence CVE : CVE-2008-1767
Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : le traitement d’un document XML peut entraîner la fermeture inattendue de l’application ou l’exécution de code arbitraire
Description : une vulnérabilité de débordement de tampon dans le tas existe dans la bibliothèque libxslt. L’affichage d’une page HTML malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. De plus amples informations sur le correctif appliqué sont disponibles sur le site http://xmlsoft.org/XSLT/ Nous remercions Anthony de Almeida Lopes, d’Outpost24 AB, et Chris Evans, de l’équipe de sécurité de Google, d’avoir signalé ce problème.
MySQL Server
Référence CVE : CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079
Disponible pour : Mac OS X Server v10.5.5
Conséquence : multiples vulnérabilités dans MySQL 5.0.45
Description : MySQL a été mis à jour vers la version 5.0.67 afin de corriger plusieurs vulnérabilités, la plus grave d’entre elles pouvant entraîner l’exécution arbitraire de code. Ces problèmes affectent uniquement les systèmes Mac OS X Server. Des renseignements supplémentaires sont disponibles sur le site Web de MySQL à l’adresse http://dev.mysql.com/doc/refman/5.0/en/news-5-0-67.html
Networking
Référence CVE : CVE-2008-3645
Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : un utilisateur local peut obtenir des privilèges système
Description : un débordement de tampon dans le tas existe dans le composant IPC local du plugiciel EAPOLController de configd, ce qui peut permettre à un utilisateur local d’obtenir des privilèges système. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Crédit : Apple.
PHP
Référence CVE : CVE-2007-4850, CVE-2008-0674, CVE-2008-2371
Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5
Conséquence : multiples vulnérabilités dans PHP 4.4.8
Description : PHP a été mis à jour vers la version 4.4.9 pour corriger plusieurs vulnérabilités, la plus grave d’entre elles pouvant entraîner l’exécution arbitraire de code. Des renseignements supplémentaires sont disponibles sur le site Web de PHP à l’adresse http://www.php.net/ Ces problèmes ne concernent que les systèmes exécutant Mac OS X 10.4.x, Mac OS X Server 10.4.x ou Mac OS X Server 10.5.x.
Postfix
Référence CVE : CVE-2008-3646
Disponible pour : Mac OS X v10.5.5
Conséquence : un attaquant à distance pourrait être en mesure d’envoyer des courriels directement à des utilisateurs locaux
Description : il y a un problème dans les fichiers de configuration de Postfix. Pendant une durée d’une minute après l’envoi d’un courriel par un outil de ligne de commande local, postfix est accessible à partir du réseau. Pendant ce temps, une entité à distance qui pourrait se connecter au port SMTP peut envoyer des courriels aux utilisateurs locaux et utiliser le protocole SMTP. Ce problème ne fait pas du système un relais de messagerie ouvert. Ce problème est résolu par la modification de la configuration de Postfix pour empêcher les connexions SMTP sur des ordinateurs à distance. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X 10.5 et n’affecte pas Mac OS X Server. Nous remercions Pelle Johansson d’avoir signalé ce problème.
PSNormalizer
Référence CVE : CVE-2008-3647
Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : la visualisation d’un fichier PostScript malveillant peut entraîner la fermeture inattendue de l’application ou l’exécution de code arbitraire
Description : un débordement de tampon existe dans le traitement de la zone de la délimitation de commentaire par PSNormalizer dans les fichiers PostScript. L’affichage d’un fichier PostScript malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour corrige le problème en effectuant une validation supplémentaire des fichiers PostScript.
Crédit : Apple.
QuickLook
Référence CVE : CVE-2008-4211
Disponible pour : Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : le téléchargement ou la visualisation d’un fichier Microsoft Excel malveillant peut entraîner la fermeture inattendue de l’application ou l’exécution de code arbitraire
Description : un problème de signe existe dans la gestion des colonnes par QuickLook dans les fichiers Microsoft Excel, ce qui peut entraîner un accès mémoire hors limites. Le téléchargement ou l’affichage d’un fichier Microsoft Excel malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des fichiers Microsoft Excel. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5. Crédit : Apple.
rlogin
Référence CVE : CVE-2008-4212
Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : les systèmes configurés manuellement pour utiliser rlogin et host.equiv peuvent autoriser de manière inattendue la connexion en tant que root
Description : la page de manuel du fichier de configuration hosts.equiv indique que les entrées ne s’appliquent pas à root. Cependant, un problème de mise en œuvre dans rlogind fait que ces entrées s’appliquent également à root. Cette mise à jour corrige le problème en interdisant correctement rlogin de l’utilisateur racine si le système à distance est dans hosts.equiv. Le service rlogin n’est pas activé par défaut dans Mac OS X et doit être configuré manuellement pour être activé. Nous remercions Ralf Meyer d’avoir signalé ce problème.
Script Editor
Référence CVE : CVE-2008-4214
Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : un utilisateur local pourrait acquérir les privilèges d’un autre utilisateur qui utilise Script Editor
Description : un problème d’opération de fichier non sécurisée existe dans l’application Script Editor lors de l’ouverture des dictionnaires de script des applications. Un utilisateur local peut faire en sorte que le dictionnaire de scripts soit écrit dans un chemin arbitraire accessible par l’utilisateur qui exécute l’application. Cette mise à jour corrige le problème en créant le fichier temporaire dans un emplacement sécurisé. Crédit : Apple.
Single Sign-On
Disponible pour : Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : la commande sso_util accepte désormais les mots de passe à partir d’un fichier
Description : la commande sso_util accepte désormais les mots de passe à partir d’un fichier nommé dans la variable d’environnement SSO_PASSWD_PATH. Cela permet aux scripts automatisés d’utiliser sso_util de manière plus sûre.
Tomcat
Référence CVE : CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461
Disponible pour : Mac OS X Server v10.5.5
Conséquence : multiples vulnérabilités dans Tomcat 6.0.14
Tomcat a été mis à jour vers la version 6.0.18 sur les systèmes Mac OS X v10.5 pour remédier à plusieurs vulnérabilités, la plus grave d’entre elles pouvant entraîner une attaque par script intersite. Ces problèmes affectent uniquement les systèmes Mac OS X Server. Des renseignements supplémentaires sont disponibles sur le site de Tomcat à l’adresse http://tomcat.apache.org/
vim
Référence CVE : CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294
Disponible pour : Mac OS X v10.5.5, Mac OS X Server v10.5.5
Conséquence : multiples vulnérabilités dans vim 7.0
Description : plusieurs vulnérabilités existent dans vim 7.0, la plus grave d’entre elles pouvant entraîner l’exécution arbitraire de code lors de la manipulation de fichiers malveillants. Cette mise à jour résout les problèmes en effectuant la mise à jour vers vim 7.2.0.22. Des renseignements supplémentaires sont disponibles sur le site Web de vim à l’adresse http://www.vim.org/
Weblog
Référence CVE : CVE-2008-4215
Disponible pour : Mac OS X Server v10.4.11
Conséquence : le contrôle d’accès aux publications Weblog peut ne pas être appliqué
Description : une condition d’erreur non vérifiée existe dans le serveur de Weblog. L’ajout d’un utilisateur avec plusieurs noms courts à la liste de contrôle d’accès pour une publication Weblog peut amener le serveur Weblog à ne pas appliquer le contrôle d’accès. Ce problème est résolu par l’amélioration de la façon dont les listes de contrôle d’accès sont enregistrées. Ce problème affecte uniquement les systèmes exécutant Mac OS X Server 10.4. Crédit : Apple.