À propos de la mise à jour de sécurité 2008-007
Ce document décrit la mise à jour de sécurité 2008-007, qui peut être téléchargée et installée via les préférences Mise à jour de logiciels ou à partir de la page Téléchargements Apple.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
Mise à jour de sécurité 2008-007
Apache
Références CVE : CVE-2007-6420, CVE-2008-1678, CVE-2008-2364
Disponible pour : Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : Apache 2.2.8 présente plusieurs failles.
Description : la version 2.2.9 d’Apache est installée pour remédier à plusieurs failles, la plus grave pouvant entraîner une contrefaçon de requêtes inter-sites. La version 2 d’Apache n’est pas fournie avec les systèmes client Mac OS X antérieurs à la version 10.5. La version 2 d’Apache est fournie avec les systèmes Mac OS X Server 10.4.x, mais n’est pas active par défaut. Des informations supplémentaires sont disponibles sur le site web d’Apache, à l’adresse http://httpd.apache.org/
Certificates
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : des certificats racine ont été mis à jour.
Description : plusieurs certificats de confiance ont été ajoutés à la liste des racines système. Plusieurs certificats existants ont été mis à jour vers leur version la plus récente. La liste complète des racines système reconnues peut être consultée via l’application Keychain Access.
ClamAV
Références CVE : CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914
Disponible pour : Mac OS X Server 10.4.11, Mac OS X Server 10.5.5
Conséquence : ClamAV 0.93.3 présente plusieurs failles.
Description : ClamAV 0.93.3 présente plusieurs failles, la plus grave pouvant entraîner l’exécution de code arbitraire. Cette mise à jour résout les problèmes en mettant à jour ClamAV vers la version 0.94. ClamAV n’est pas fourni sur les systèmes client Mac OS X. Pour en savoir plus, consultez le site web de ClamAV à l’adresse suivante : http://www.clamav.net/
ColorSync
Référence CVE : CVE-2008-3642
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : l’affichage d’une image malveillante peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : la gestion des images avec un profil ICC intégré présente un problème de dépassement de tampon. L’ouverture d’une image malveillante avec un profil ICC intégré peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des profils ICC des images. Source : Apple.
CUPS
Référence CVE : CVE-2008-3641
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : un attaquant distant peut provoquer l’exécution de code arbitraire avec les privilèges de l’utilisateur « lp ».
Description : le filtre Hewlett-Packard Graphics Language (HPGL) présente un problème de vérification de la portée, lequel peut provoquer l’écrasement de la mémoire arbitraire par des données contrôlées. Si le partage d’imprimante est activé, un attaquant distant peut provoquer l’exécution arbitraire de code avec les privilèges de l’utilisateur « lp ». Si le partage d’imprimante est désactivé, un utilisateur local peut obtenir des privilèges élevés. Cette mise à jour résout le problème en effectuant une vérification supplémentaire des limites. Merci à regenrecht en collaboration avec le programme Zero Day Initiative de TippingPoint d’avoir signalé ce problème.
Finder
Référence CVE : CVE-2008-3643
Disponible pour : Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : un fichier présent sur le bureau peut être à l’origine d’un déni de service.
Description : le Finder présente un problème de récupération d’erreur. Un fichier malveillant sur le bureau qui provoque l’arrêt inopiné du Finder lors de la génération de son icône entraîne l’arrêt et le redémarrage continuels du Finder. Le compte utilisateur n’est pas accessible via l’interface utilisateur du Finder jusqu’à la suppression du fichier. Cette mise à jour résout le problème en générant les icônes dans un processus distinct. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X 10.5. Merci à Sergio « shadown » Alvarez de n.runs AG d’avoir signalé ce problème.
launchd
Conséquence : il se peut que les applications ne parviennent pas à accéder à une sandbox à la demande.
Disponible pour : Mac OS X 10.5.5, Mac OS X Server 10.5.5
Description : cette mise à jour résout un problème survenant sous Mac OS X 10.5.5. Un problème d’implémentation dans launchd peut entraîner l’échec de la demande d’accès d’une application à une sandbox. Ce problème ne concerne pas les programmes qui utilisent l’API documentée sandbox_init. Cette mise à jour résout le problème en fournissant une version mise à jour de launchd. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5.5.
libxslt
Référence CVE : CVE-2008-1767
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : le traitement d’un document XML peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : la bibliothèque libxslt présente un problème de dépassement de tas. L’affichage d’une page HTML malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Des informations supplémentaires sur le correctif appliqué sont disponibles à l’adresse http://xmlsoft.org/XSLT/. Merci à Anthony de Almeida Lopes d’Outpost24 AB et à Chris Evans de l’équipe de sécurité de Google d’avoir signalé ce problème.
MySQL Server
Références CVE : CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079
Disponible pour : Mac OS X Server 10.5.5
Conséquence : MySQL 5.0.45 présente plusieurs failles.
Description : la version 5.0.67 de MySQL est installée pour remédier à plusieurs failles, la plus grave pouvant entraîner l’exécution de code arbitraire. Ces problèmes concernent uniquement les systèmes Mac OS X Server. Des informations supplémentaires sont disponibles sur le site web de MySQL, à l’adresse http://dev.mysql.com/doc/refman/5.0/en/news-5-0-67.html
Networking
Référence CVE : CVE-2008-3645
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : un utilisateur local peut obtenir des privilèges système
Description : le composant IPC local du module EAPOLController de configd présente un problème de dépassement de tas, lequel peut permettre à un utilisateur local de bénéficier de privilèges système. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Source : Apple.
PHP
Références CVE : CVE-2007-4850, CVE-2008-0674, CVE-2008-2371
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X Server 10.5.5
Conséquence : PHP 4.4.8 présente plusieurs failles.
Description : la version 4.4.9 de PHP est installée pour remédier à plusieurs failles, la plus grave pouvant entraîner l’exécution de code arbitraire. Des informations supplémentaires sont disponibles sur le site web de PHP, à l’adresse http://www.php.net/. Ces problèmes concernent uniquement les systèmes Mac OS X 10.4.x, Mac OS X Server 10.4.x ou Mac OS X Server 10.5.x.
Postfix
Référence CVE : CVE-2008-3646
Disponible pour : Mac OS X 10.5.5
Conséquence : un attaquant distant peut être en mesure d’envoyer des e-mails directement aux utilisateurs locaux.
Description : les fichiers de configuration Postfix présentent un problème. Postfix est accessible depuis le réseau pendant une minute après l’envoi d’un e-mail par un outil de ligne de commande local. Pendant cette période, une entité distante qui se connecterait au port SMTP peut envoyer des e-mails aux utilisateurs locaux et utiliser le protocole SMTP. Ce problème ne transforme pas le système en relais de messagerie ouvert. Ce problème a été résolu en modifiant la configuration Postfix afin d’empêcher les connexions SMTP depuis des machines distantes. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5 ni Mac OS X Server. Merci à Pelle Johansson d’avoir signalé ce problème.
PSNormalizer
Référence CVE : CVE-2008-3647
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : la consultation d’un fichier PostScript malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : la gestion par PSNormalizer du commentaire dans une boîte de délimitation dans les fichiers PostScript présente un problème de dépassement de tampon. L’affichage d’un fichier PostScript malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour corrige le problème en procédant à une validation supplémentaire des fichiers PostScript.
Source : Apple.
QuickLook
Référence CVE : CVE-2008-4211
Disponible pour : Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : le téléchargement ou la consultation d’un fichier Microsoft Excel malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire.
Description : la gestion par QuickLook des colonnes dans les fichiers Microsoft Excel présente un problème de signature, lequel peut permettre d’accéder à la mémoire hors limites. Le téléchargement ou l’affichage d’un fichier Microsoft Excel malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des fichiers Microsoft Excel. Ce problème ne concerne pas les systèmes antérieurs à Mac OS X 10.5. Source : Apple.
rlogin
Référence CVE : CVE-2008-4212
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : les systèmes configurés manuellement pour utiliser rlogin et host.equiv peuvent autoriser de manière inopinée la connexion root.
Description : la page de manuel du fichier de configuration hosts.equiv indique que les entrées ne s’appliquent pas à l’utilisateur root. Cependant, un problème de mise en œuvre dans rlogind entraîne l’application de ces entrées à l’utilisateur root. Cette mise à jour résout le problème en désactivant correctement rlogin pour l’utilisateur root si le système distant se trouve dans hosts.equiv. Le service rlogin n’est pas activé par défaut sous Mac OS X et doit être configuré manuellement. Merci à Ralf Meyer d’avoir signalé ce problème.
Script Editor
Référence CVE : CVE-2008-4214
Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : un utilisateur local peut bénéficier des privilèges d’un autre utilisateur qui utilise Éditeur de script.
Description : l’application Éditeur de script présente un problème d’opération de fichier non sécurisée lors de l’ouverture des dictionnaires de script de l’application. Un utilisateur local peut faire en sorte que le dictionnaire de script soit écrit sur un chemin arbitraire accessible par l’utilisateur qui exécute l’application. Cette mise à jour résout le problème en créant le fichier temporaire dans un emplacement sécurisé. Source : Apple.
Single Sign-On
Disponible pour : Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : la commande sso_util accepte désormais les mots de passe issus d’un fichier.
Description : la commande sso_util accepte désormais les mots de passe issus d’un fichier nommé dans la variable d’environnement SSO_PASSWD_PATH. Les scripts automatisés peuvent ainsi utiliser sso_util de manière plus sécurisée.
Tomcat
Références CVE : CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461
Disponible pour : Mac OS X Server 10.5.5
Conséquence : Tomcat 6.0.14 présente plusieurs failles.
Description : la version 6.0.18 de Tomcat est installée sur les systèmes dotés de Mac OS X 10.5 pour remédier à plusieurs failles, la plus grave pouvant conduire à une attaque par injection de code indirect. Ces problèmes concernent uniquement les systèmes Mac OS X Server. De plus amples informations sont disponibles sur le site de Tomcat à l’adresse suivante : http://tomcat.apache.org/
vim
Références CVE : CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294
Disponible pour : Mac OS X 10.5.5, Mac OS X Server 10.5.5
Conséquence : vim 7.0 présente plusieurs failles.
Description : vim 7.0 présente plusieurs failles, la plus grave pouvant entraîner l’exécution de code arbitraire lors de l’utilisation de fichiers malveillants. Cette mise à jour résout les problèmes en mettant à jour vim vers la version 7.2.0.22. Des informations supplémentaires sont disponibles sur le site web de vim, à l’adresse http://www.vim.org/
Weblog
Référence CVE : CVE-2008-4215
Disponible pour : Mac OS X Server 10.4.11
Conséquence : il se peut que le contrôle des accès aux publications weblog ne soit pas appliqué.
Description : le serveur weblog présente un problème de condition d’erreur non vérifiée. L’ajout d’un utilisateur avec plusieurs noms courts à la liste de contrôle d’accès pour une publication weblog peut empêcher le serveur weblog d’appliquer le contrôle d’accès. Ce problème a été résolu en améliorant la façon dont les listes de contrôle d’accès sont enregistrées. Ce problème concerne uniquement les systèmes Mac OS X Server 10.4. Source : Apple.