Informazioni sull’aggiornamento di sicurezza 2009-004
In questo documento vengono descritti i contenuti di sicurezza dell'aggiornamento di sicurezza 2009-004.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo che parla degli aggiornamenti di sicurezza Apple.
Aggiornamento di sicurezza 2009-004
BIND
CVE-ID: CVE-2009-0696
Disponibile per: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Impatto: un utente malintenzionato remoto potrebbe riuscire a causare l'arresto imprevisto del server DNS
Descrizione: un problema di logica nella gestione dei messaggi di aggiornamento DNS dinamici potrebbe causare l'attivazione di un'asserzione. Inviando un messaggio di aggiornamento pericoloso al server DNS BIND, un utente malintenzionato remoto potrebbe riuscire a interrompere il servizio BIND. Il problema interessa i server master per una o più zone, indipendentemente se accettano aggiornamenti. BIND è incluso in Mac OS X e Mac OS X Server ma non è abilitato di default. Questo aggiornamento risolve il problema rifiutando in maniera appropriata i messaggi con un record di tipo “ANY” dove in precedenza sarebbe stata emessa un'asserzione.