Mengenai Pembaruan Keamanan 2008-007

Dokumen ini menjelaskan Pembaruan Keamanan 2008-007, yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

Pembaruan Keamanan 2008-007

  • Apache

    • CVE-ID: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    • Tersedia untuk: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Dampak: Beberapa kerentanan di Apache 2.2.8

    • Deskripsi: Apache diperbarui ke versi 2.2.9 untuk mengatasi beberapa kerentanan, yang paling serius dapat menyebabkan pemalsuan permintaan lintas situs. Apache versi 2 tidak disertakan dengan sistem Mac OS X Client versi sebelum 10.5. Apache versi 2 disertakan dengan sistem Mac OS X Server v10.4.x, tetapi tidak aktif secara default. Informasi lebih lanjut tersedia di situs web Apache http://httpd.apache.org/

  • Certificates

    • Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Dampak: Sertifikat root telah diperbarui

    • Deskripsi: Beberapa sertifikat tepercaya telah ditambahkan ke daftar root sistem. Beberapa sertifikat yang sudah ada diperbarui ke versi terbaru. Daftar lengkap root sistem yang dikenali dapat dilihat melalui app Akses Rantai Kunci.

  • ClamAV

    • CVE-ID: CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

      Tersedia untuk: Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Dampak: Beberapa kerentanan di ClamAV 0.93.3

    • Deskripsi: Terdapat beberapa kerentanan di ClamAV 0.93.3, yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah dengan memperbarui ClamAV 0.94. ClamAV tidak disertakan dengan sistem Mac OS X Client. Informasi lebih lanjut dapat diakses melalui situs web ClamAV http://www.clamav.net/

  • ColorSync

    • CVE-ID: CVE-2008-3642

    • Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Dampak: Menampilkan gambar perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    • Deskripsi: Terdapat kelebihan buffer dalam penanganan gambar dengan profil ICC yang disematkan. Membuka gambar perusak yang berbahaya dengan profil ICC tersemat dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah melalui validasi tambahan profil ICC dalam gambar. Terima kasih kepada: Apple.

  • CUPS

    • CVE-ID: CVE-2008-3641

    • Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Dampak: Penyerang jarak jauh mungkin dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa pengguna ‘lp’

    • Deskripsi: Terdapat masalah pemeriksaan rentang di filter Hewlett-Packard Graphics Language (HPGL) yang dapat menyebabkan memori arbitrer ditimpa dengan data terkontrol. Jika Berbagi Pencetak diaktifkan, penyerang jarak jauh dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa pengguna 'lp'. Jika Berbagi Pencetak tidak diaktifkan, pengguna lokal mungkin dapat memperoleh hak istimewa yang lebih tinggi. Pembaruan ini mengatasi masalah tersebut dengan melakukan pemeriksaan batas tambahan. Terima kasih kepada regenrecht yang bekerja sama dengan Zero Day Initiative dari TippingPoint yang telah melaporkan masalah ini.

  • Finder

    • CVE-ID: CVE-2008-3643

    • Tersedia untuk: Mac OS X v10.5.5, Mac OS X Server v10.5.5

      Dampak: File di Desktop dapat menyebabkan penolakan layanan

    • Deskripsi: Terdapat masalah pemulihan kesalahan di Finder. File perusak yang berbahaya pada Desktop menyebabkan Finder terhenti secara tiba-tiba saat membuat ikonnya. Masalah ini akan menyebabkan Finder terus terhenti dan memulai ulang. Akun pengguna tidak dapat diakses melalui antarmuka pengguna Finder hingga file dihapus. Pembaruan ini mengatasi masalah dengan membuat ikon dalam proses terpisah. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5. Terima kasih kepada Sergio 'shadown' Alvarez dari n.runs AG yang telah melaporkan masalah ini.

  • launchd

    • Dampak: Aplikasi mungkin gagal masuk ke sandbox saat permintaan dikirim

    • Tersedia untuk: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Deskripsi: Pembaruan ini mengatasi masalah yang muncul di Mac OS X v10.5.5. Masalah implementasi di launchd dapat menyebabkan permintaan aplikasi untuk masuk ke sandbox gagal. Masalah ini tidak memengaruhi program yang menggunakan API sandbox_init yang didokumentasikan. Pembaruan ini mengatasi masalah dengan menyediakan versi launchd terbaru. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5.5.

  • libxslt

    • CVE-ID: CVE-2008-1767

    • Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Dampak: Memproses dokumen XML dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

      Deskripsi: Terdapat masalah kelebihan tumpukan buffer di perpustakaan libxslt. Melihat halaman HTML perusak yang berbahaya dapat menyebabkan penghentian app yang tidak terduga atau eksekusi kode arbitrer. Informasi lebih lanjut mengenai patch yang diterapkan tersedia melalui http://xmlsoft.org/XSLT/ Terima kasih kepada Anthony de Almeida Lopes dari Outpost24 AB, dan Chris Evans dari Tim Keamanan Google yang telah melaporkan masalah ini.

  • MySQL Server

    • CVE-ID: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    • Tersedia untuk: Mac OS X Server v10.5.5

      Dampak: Beberapa kerentanan di MySQL 5.0.45

    • Deskripsi: MySQL diperbarui ke versi 5.0.67 untuk mengatasi beberapa kerentanan, yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Masalah ini hanya memengaruhi sistem Mac OS X Server. Informasi lebih lanjut tersedia melalui situs web MySQL http://dev.mysql.com/doc/refman/5.0/en/news-5-0-67.html

  • Networking

    • CVE-ID: CVE-2008-3645

    • Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Dampak: Pengguna lokal dapat memperoleh hak istimewa sistem

    • Deskripsi: Terdapat kelebihan tumpukan buffer pada komponen IPC lokal dari plugin EAPOLController di configd, yang dapat memungkinkan pengguna lokal memperoleh hak istimewa sistem. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada: Apple.

  • PHP

    • CVE-ID: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    • Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Dampak: Beberapa kerentanan di PHP 4.4.8

    • Deskripsi: PHP diperbarui ke versi 4.4.9 untuk mengatasi beberapa kerentanan, yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web PHP http://www.php.net/ Masalah ini hanya memengaruhi sistem yang menjalankan Mac OS X v10.4.x, Mac OS X Server v10.4.x, atau Mac OS X Server v10.5.x.

  • Postfix

    • CVE-ID: CVE-2008-3646

    • Tersedia untuk: Mac OS X v10.5.5

      Dampak: Penyerang jarak jauh mungkin dapat mengirim email secara langsung ke pengguna lokal

    • Deskripsi: Terdapat masalah pada file konfigurasi Postfix. Selama satu menit setelah alat baris perintah lokal mengirim email, postfix dapat diakses dari jaringan. Selama periode ini, entitas jarak jauh yang dapat tersambung ke port SMTP dapat mengirim email ke pengguna lokal dan menggunakan protokol SMTP. Masalah ini tidak menyebabkan sistem menjadi relai email terbuka. Masalah ini diatasi dengan mengubah konfigurasi Postfix untuk mencegah koneksi SMTP dari perangkat jarak jauh. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5 dan tidak memengaruhi Mac OS X Server. Terima kasih kepada Pelle Johansson yang telah melaporkan masalah ini.

  • PSNormalizer

    • CVE-ID: CVE-2008-3647

    • Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Dampak: Menampilkan file PostScript perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    • Deskripsi: Terdapat kelebihan buffer saat PSNormalizer menangani komentar kotak pembatas dalam file PostScript. Melihat file PostScript perusak yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan menjalankan validasi tambahan terhadap file PostScript.

    • Terima kasih kepada: Apple.

  • QuickLook

    • CVE-ID: CVE-2008-4211

    • Tersedia untuk: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Dampak: Mengunduh atau menampilkan file Microsoft Excel perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    • Deskripsi: Terdapat masalah penandatanganan saat QuickLook menangani kolom di file Microsoft Excel, yang dapat menyebabkan akses memori di luar batas. Mengunduh atau melihat file Microsoft Excel perusak yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap file Microsoft Excel. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5. Terima kasih kepada: Apple.

  • rlogin

    • CVE-ID: CVE-2008-4212

    • Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Dampak: Sistem yang telah dikonfigurasi secara manual untuk menggunakan rlogin dan host.equiv dapat mengizinkan proses masuk root secara tidak terduga

    • Deskripsi: Halaman manual untuk file konfigurasi hosts.equiv menunjukkan bahwa entri tidak berlaku untuk root. Namun, masalah implementasi dalam rlogind menyebabkan entri ini juga berlaku ke root. Pembaruan ini mengatasi masalah dengan melarang rlogin dari pengguna root secara tepat jika sistem jarak jauh berada dalam hosts.equiv. Layanan rlogin tidak diaktifkan secara default di Mac OS X, dan harus dikonfigurasi manual agar diaktifkan. Terima kasih kepada Ralf Meyer yang telah melaporkan masalah ini.

  • Script Editor

    • CVE-ID: CVE-2008-4214

    • Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Dampak: Pengguna lokal bisa mendapatkan hak istimewa pengguna lain yang menggunakan Script Editor

    • Deskripsi: Terdapat masalah operasi file tidak aman pada aplikasi Script Editor saat membuka kamus penulisan skrip aplikasi. Pengguna lokal dapat menyebabkan kamus penulisan skrip ditulis ke jalur arbitrer yang dapat diakses oleh pengguna yang menjalankan app. Pembaruan ini mengatasi masalah dengan membuat file sementara di lokasi yang aman. Terima kasih kepada: Apple.

  • Single Sign-On

    • Tersedia untuk: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Dampak: Perintah sso_util kini menerima kata sandi dari file

    • Deskripsi: Perintah sso_util kini menerima kata sandi dari file yang diberi nama dalam variabel lingkungan SSO_PASSWD_PATH. Dengan demikian, skrip otomatis dapat menggunakan sso_util secara lebih aman.

  • Tomcat

    • CVE-ID: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    • Tersedia untuk: Mac OS X Server v10.5.5

    • Dampak: Beberapa kerentanan pada Tomcat 6.0.14

    • Deskripsi: Tomcat di sistem Mac OS X v10.5 diperbarui ke versi 6.0.18 untuk mengatasi beberapa kerentanan, yang paling serius dapat mengakibatkan serangan penulisan skrip lintas situs. Masalah ini hanya memengaruhi sistem Mac OS X Server. Informasi lebih lanjut tersedia melalui situs Tomcat http://tomcat.apache.org/

  • vim

    • CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    • Tersedia untuk: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Dampak: Beberapa kerentanan di vim 7.0

    • Deskripsi: Terdapat beberapa kerentanan di vim 7.0, yang paling serius dapat menyebabkan eksekusi kode arbitrer saat menangani file perusak yang berbahaya. Pembaruan ini mengatasi masalah dengan pembaruan ke vim 7.2.0.22. Informasi lebih lanjut tersedia di situs web vim http://www.vim.org/

  • Weblog

    • CVE-ID: CVE-2008-4215

    • Tersedia untuk: Mac OS X Server v10.4.11

    • Dampak: Kontrol akses pada postingan weblog mungkin tidak diberlakukan

    • Deskripsi: Terdapat kondisi kesalahan yang tidak diperiksa di server weblog. Penambahan pengguna dengan beberapa nama singkat ke daftar kontrol akses untuk posting weblog dapat menyebabkan server Weblog tidak memberlakukan kontrol akses. Masalah ini diatasi dengan menyempurnakan cara penyimpanan daftar kontrol akses. Masalah ini hanya memengaruhi sistem yang menjalankan Mac OS X Server v10.4. Terima kasih kepada: Apple.

Tanggal Dipublikasikan: