Informacije o sigurnosnom ažuriranju 2008-007

U ovom se dokumentu opisuje sigurnosno ažuriranje 2008-007, koje se može preuzeti i instalirati putem postavki za ažuriranje softvera ili putem usluge Apple Downloads.

Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do provođenja cjelovite istrage te dok potrebne zakrpe i izdanja ne postanu dostupni. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja."

Sigurnosno ažuriranje 2008-007

  • Apache

    • CVE-ID: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    • Dostupno za: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Učinak: više slabih točaka u komponenti Apache 2.2.8

    • Opis: Apache je ažuriran na verziju 2.2.9 radi otklanjanja nekoliko slabih točaka, a najozbiljnija od njih može uzrokovati krivotvorenje zahtjeva na više web-mjesta. Apache verzije 2 nije objedinjen s klijentskim sustavima Mac OS X starijim od verzije 10.5. Apache verzije 2 je objedinjena sa sustavima Mac OS X Server v10.4.x, ali nije aktivan po zadanoj postavci. Dodatne informacije dostupne su putem web-mjesta za Apache na adresi http://httpd.apache.org/

  • Certificates

    • Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Učinak: ažurirani su korijenski certifikati

    • Opis: nekoliko pouzdanih certifikata dodano je na popis korijena sustava. Nekoliko postojećih certifikata je ažurirano na najnovije verzije. Cjeloviti popis prepoznatih korijena sustava može se vidjeti putem aplikacije Pristup putem privjeska ključeva.

  • ClamAV

    • CVE-ID: CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

      Dostupno za: Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Učinak: više slabih točaka u komponenti ClamAV 0.93.3

    • Učinak: u komponenti ClamAV 0.93.3 postoji više slabih točaka, a najozbiljnija može uzrokovati izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem ažuriranjem na verziju ClamAV 0.94. ClamAV nije objedinjen s klijentskim sustavima Mac OS X. Dodatne informacije dostupne su na web-mjestu tvrtke ClamAV http://www.clamav.net/

  • ColorSync

    • CVE-ID: CVE-2008-3642

    • Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Učinak: prikaz zlonamjerno stvorene slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    • Opis: postoji problem s oštećenjem memorije u rukovanju slikama s ugrađenim ICC profilom. Otvaranje zlonamjerno stvorene slike s ugrađenim ICC profilom može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem dodatnom provjerom valjanosti ICC profila u slikama. Zasluge: Apple.

  • CUPS

    • CVE-ID: CVE-2008-3641

    • Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda pomoću privilegija „lp” korisnika

    • Opis: postoji problem s provjerom raspona u filtru Hewlett-Packard Graphics Language (HPGL), koji može uzrokovati prebrisavanje proizvoljne memorije kontroliranim podacima. Ako je omogućeno dijeljenje pisača, udaljeni napadač možda može uzrokovati izvršavanje proizvoljnog koda pomoću privilegija „lp” korisnika. Ako dijeljenje pisača nije omogućeno, lokalni korisnik možda može dobiti povećane privilegije. Ovo ažuriranje rješava problem provođenjem dodatne provjere ograničenja. Zahvaljujemo korisniku regenrecht u suradnji s timom projekta Zero Day Initiative tvrtke TippingPoint na prijavi tog problema.

  • Finder

    • CVE-ID: CVE-2008-3643

    • Dostupno za: Mac OS X v10.5.5, Mac OS X Server v10.5.5

      Učinak: datoteka na radnoj površini mogla bi dovesti do odbijanja usluge

    • Opis: postoji problem s ispravljanjem pogrešaka u programu Finder. Zlonamjerno izrađena datoteka na radnoj površini koja uzrokuje neočekivano zatvaranje programa Finder tijekom generiranja ikone uzrokovat će kontinuirano zatvaranje i ponovno pokretanje programa Finder. Dok se datoteka ne ukloni, korisnički račun nije dostupan putem korisničkog sučelja programa Finder. To ažuriranje rješava problem generiranjem ikona u zasebnim procesima. Ovaj se problem ne pojavljuje u sustavima starijima od Mac OS X v10.5. Zahvaljujemo Sergiou „shadown” Alvarezu na prijavi tog problema.

  • launchd

    • Učinak: aplikacije možda neće uspjeti pokrenuti sandbox kada se to od njih zatraži

    • Dostupno za: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Opis: ovo ažuriranje rješava problem koji se javlja u sustavu Mac OS X v10.5.5. Problem s implementacijom u alatu launchd može uzrokovati neuspjeh zahtjeva aplikacije za pokretanje sandboxa. Taj problem ne utječe na programe koji upotrebljavaju dokumentirani sandbox_init API. To ažuriranje rješava problem pružanjem ažurirane verzije alata launchd. Taj problem ne utječe na sustave starije od sustava Mac OS X v10.5.5.

  • libxslt

    • CVE-ID: CVE-2008-1767

    • Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Učinak: obrada XML dokumenta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

      Opis: problem s prekoračenjem međuspremnika skupa postoji u biblioteci libxslt. Prikaz zlonamjerno izrađene HTML stranice može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Dodatne informacije o primijenjenoj zakrpi dostupne su putem web-mjesta http://xmlsoft.org/XSLT/ Zahvaljujemo Anthonyju de Almeida Lopesu iz tima Outpost24 AB i Chrisu Evansu iz Googleovog sigurnosnog tima na prijavi tog problema.

  • MySQL Server

    • CVE-ID: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    • Dostupno za: Mac OS X Server v10.5.5

      Utjecaj: više slabih točaka u programu MySQL 5.0.45

    • Opis: MySQL je ažuriran na verziju 5.0.67 radi otklanjanja nekoliko slabih točaka, a najozbiljnija od njih može uzrokovati izvršavanje proizvoljnog koda. Ti se problemi odnose samo na sustave Mac OS X Server. Dodatne informacije dostupne su putem web-mjesta MySQL na stranicama http://dev.mysql.com/doc/refman/5.0/en/news-5-0-67.html

  • Networking

    • CVE-ID: CVE-2008-3645

    • Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Učinak: lokalni korisnik može dobiti sistemske ovlasti

    • Opis: postoji prekoračenje međuspremnika u lokalnoj IPC komponenti dodatka EAPOLController za configd, što lokalnom korisniku može omogućiti stjecanje sistemskih privilegija. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Zasluge: Apple.

  • PHP

    • CVE-ID: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    • Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Učinak: veći broj slabih točaka u programu PHP 4.4.8

    • Opis: PHP je ažuriran na verziju 4.4.9 radi otklanjanja nekoliko slabih točaka, a najozbiljnija od njih može uzrokovati izvršavanje proizvoljnog koda. Daljnje su informacije dostupne putem web-mjesta PHP na adresi http://www.php.net/ Ti se problemi odnose samo na sustave koji imaju Mac OS X v10.4.x, Mac OS X Server v10.4.x, or Mac OS X Server v10.5.x.

  • Postfix

    • CVE-ID: CVE-2008-3646

    • Dostupno za: Mac OS X v10.5.5

      Učinak: udaljeni napadač mogao bi poslati poštu izravno lokalnim korisnicima

    • Opis: postoji problem s konfiguracijskim datotekama za Postfix. U razdoblju od jedne minute nakon što lokalni alat naredbenog retka pošalje poštu, usluzi Postfix se može pristupiti s mreže. U tom razdoblju, udaljeni entitet koji se može povezati na SMTP priključak može poslati mail lokalnim korisnicima i na drugi način upotrijebiti SMTP protokol. Problem ne uzrokuje pretvaranje sustava u otvoreni relej za e-poštu. Problem se rješava modificiranjem konfiguracije alata Postfix radi sprječavanja veza SMTP-a s udaljenih računala. Taj problem ne utječe na sustave prije verzije Mac OS X v10.5 i ne utječe na Mac OS X Server. Zahvaljujemo Pelleu Johanssonu na prijavi tog problema.

  • PSNormalizer

    • CVE-ID: CVE-2008-3647

    • Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Učinak: prikazivanje zlonamjerno stvorene PostScript datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    • Opis: postoji prekoračenje međuspremnika u načinu na koji PSNormalizer upravlja komentarom graničnog okvira u PostScript datotekama. Prikaz zlonamjerno stvorene PostScript datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovo ažuriranje rješava problem dodatnom provjerom valjanosti PostScript datoteka.

    • Zasluge: Apple.

  • QuickLook

    • CVE-ID: CVE-2008-4211

    • Dostupno za: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Učinak: preuzimanje ili prikaz zlonamjerno stvorene datoteke programa Microsoft Excel može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    • Opis: postoji problem s potpisom u načinu na koji QuickLook upravlja stupcima u Microsoft Excel datotekama i može rezultirati pristupom memoriji izvan granica. Preuzimanje ili prikaz zlonamjerno stvorene datoteke programa Microsoft Excel može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem izvođenjem dodatnih provjera valjanosti datoteka programa Microsoft Excel. Taj problem ne utječe na sustave starije od sustava Mac OS X v10.5. Zasluge: Apple.

  • rlogin

    • CVE-ID: CVE-2008-4212

    • Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Utjecaj: sustavi koji su ručno konfigurirani za korištenje rlogin i host.equiv datoteka mogu neočekivano dopustiti korijensku prijavu

    • Opis: manpage za konfiguracijsku datoteku hosts.equiv pokazuje da se unosi ne odnose na korijen. Međutim, problem s implementacijom u alatu rlogind uzrokuje primjenu tih unosa i na korijen. To ažuriranje rješava problem pravilnim onemogućavanjem usluge rlogin za korijenskog korisnika ako je udaljeni sustav u hosts.equiv. Usluga rlogin nije omogućena prema zadanim postavkama u sustavu Mac OS X i mora se ručno konfigurirati kako bi se omogućila. Zahvaljujemo Ralfu Meyeru na prijavi tog problema.

  • Script Editor

    • CVE-ID: CVE-2008-4214

    • Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Učinak: lokalni korisnik može steći privilegije drugog korisnika koji koristi alat Script Editor

    • Opis: postoji problem nesigurnog rada datoteke u aplikaciji Script Editor prilikom otvaranja rječnika skriptiranja u aplikaciji. Lokalni korisnik može uzrokovati zapisivanje rječnika skriptiranja na proizvoljni put kojemu može pristupiti korisnik koji upotrebljava aplikaciju. To ažuriranje rješava problem stvaranjem privremene datoteke na sigurnoj lokaciji. Zasluge: Apple.

  • Single Sign-On

    • Dostupno za: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Učinak: naredba sso_util sada prihvaća lozinke iz datoteke

    • Opis: naredba sso_util sada prihvaća lozinke iz datoteke imenovane u varijabli okruženja SSO_PASSWD_PATH. To automatskim skriptama omogućuje sigurniju upotrebu alata sso_util.

  • Tomcat

    • CVE-ID: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    • Dostupno za: Mac OS X Server v10.5.5

    • Učinak: više slabih točaka u programu Tomcat 6.0.14

    • Opis: program Tomcat u sustavu Mac OS X v10.5. ažuriran je na verziju 6.0.18 radi rješavanja nekoliko slabih točaka, od kojih bi najozbiljnija mogla omogućiti napad skriptiranjem na web-mjestu. Ti se problemi odnose samo na sustave Mac OS X Server. Dodatne informacije dostupne su na web-mjestu tvrtke Tomcat na adresi http://tomcat.apache.org/

  • vim

    • CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    • Dostupno za: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Učinak: više slabih točaka u programu vim 7.0

    • Opis: postoji više slabih točaka u programu vim 7.0, od kojih bi najozbiljnija mogla dovesti do izvršavanja proizvoljnog koda pri radu sa zlonamjerno izrađenim datotekama. Ovo ažuriranje rješava problem ažuriranjem na verziju vim 7.2.0.22. Daljnje informacije dostupne su putem web-mjesta vim na adresi http://www.vim.org/

  • Weblog

    • CVE-ID: CVE-2008-4215

    • Dostupno za: Mac OS X Server v10.4.11

    • Učinak: kontrola pristupa objavama webloga možda se neće provoditi

    • Opis: neprovjereno stanje pogreške na poslužitelju za weblog. U slučaju dodavanja korisnika s više kratkih imena za pristup kontrolnom popisu radi objave na weblogu, poslužitelj webloga možda neće primijeniti kontrolu pristupa. Taj je problem riješen poboljšanjem načina na koji se popisi za kontrolu pristupa spremaju. Problem se odnosi samo na sustave s verzijom Mac OS X Server v10.4. Zasluge: Apple.

Datum objave: