Mises à jour de sécurité Apple (du 3 octobre 2003 au 11 janvier 2005)

Ce document présente les mises à jour de sécurité publiées pour les produits Apple entre le 3 octobre 2003 et le 11 janvier 2005.

Important : pour obtenir des informations sur les mises à jour de sécurité ultérieures (plus récentes), consultez l’article « Mises à jour de sécurité Apple ».

Pour obtenir des informations sur les mises à jour de sécurité antérieures, consultez l’article « Mises à jour de sécurité Apple (jusqu’à août 2003) ».

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou les mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité des produits Apple, consultez le site web Product Security Incident Response d’Apple, Inc.

Clé PGP du groupe de sécurité produit d’Apple

Pour obtenir des informations, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».

Mises à jour de sécurité

Les mises à jour de sécurité sont répertoriées ci-dessous en fonction de la version du logiciel dans laquelle elles ont été publiées pour la première fois. Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

iTunes 4.7.1

Disponible pour : Mac OS X, Microsoft Windows XP, Microsoft Windows 2000

Référence CVE : CAN-2005-0043

Conséquence : des playlists malveillantes peuvent entraîner le blocage d’iTunes et l’exécution de code arbitraire.

Description : iTunes prend en charge plusieurs formats de playlist courants. iTunes 4.7.1 corrige un problème de dépassement de la mémoire tampon dans l’analyse des fichiers de playlist m3u et pls qui pouvait permettre aux versions antérieures d’iTunes de se bloquer et d’exécuter du code arbitraire. Merci à Sean de Regge (seanderegge[at]hotmail.com) d’avoir découvert ce problème, et merci à iDEFENSE Labs de nous l’avoir signalé.

Mise à jour de sécurité 2004-12-02

Apache

Disponible pour : Mac OS X Server 10.3.6, Mac OS X Server 10.2.8

Référence CVE : CAN-2004-1082

Conséquence : l’authentification du module mod_digest_apple d’Apache est vulnérable aux attaques par rejeu.

Description : le module mod_digest_apple propre à Mac OS X Server est basé sur le module mod_digest d’Apache. Plusieurs correctifs d’un problème de rejeu dans mod_digest ont été apportés dans les versions 1.3.31 et 1.3.32 d’Apache (CAN-2003-0987). Cette mise à jour corrige le problème de rejeu dans l’authentification du module mod_digest_apple à l’aide des modifications apportées à Apache 1.3.32.

Apache

Disponible pour : Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

Références CVE : CAN-2003-0020, CAN-2003-0987, CAN-2004-0174, CAN-2004-0488, CAN-2004-0492, CAN-2004-0885, CAN-2004-0940

Conséquence : plusieurs vulnérabilités dans Apache et mod_ssl, notamment en ce qui concerne la réaffectation des privilèges locaux, un déni de service à distance et, dans certaines configurations modifiées, l’exécution arbitraire de code.

Description : le groupe Apache a corrigé un certain nombre de vulnérabilités entre les versions 1.3.29 et 1.3.33. La page de sécurité du groupe Apache pour Apache 1.3 est disponible à l’adresse suivante : http://www.apacheweek.com/features/security-13. La version précédente d’Apache était la version 1.3.29. L’installation par défaut d’Apache n’active pas le module mod_ssl. Cette mise à jour corrige tous les problèmes applicables en mettant à jour Apache vers la version 1.3.33 et le module mod_ssl complémentaire vers la version 2.8.22.

Apache

Disponible pour : Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

Référence CVE : CAN-2004-1083

Conséquence : les configurations d’Apache ne bloquaient pas complètement l’accès aux fichiers « .DS_Store » ou à ceux commençant par « .ht ».

Description : une configuration par défaut d’Apache bloque l’accès aux fichiers commençant par « .ht » en tenant compte de la casse. Le système de fichiers Apple HFS+ permet d’accéder aux fichiers sans tenir compte de la casse. Le Finder peut également créer des fichiers .DS_Store contenant les noms des fichiers dans les emplacements servant à diffuser des pages web. Cette mise à jour modifie la configuration d’Apache de manière à restreindre l’accès à tous les fichiers commençant par « .ht » ou « .DS_S », quelle que soit la casse. Plus…

Apache

Disponible pour : Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

Référence CVE : CAN-2004-1084

Conséquence : les données des fichiers et le contenu du fork de ressources peuvent être récupérés via HTTP sans passer par les gestionnaires de fichiers normaux d’Apache.

Description : le système de fichiers Apple HFS+ permet aux fichiers de disposer de plusieurs flux de données. Ces flux de données sont directement accessibles à l’aide de noms de fichiers spéciaux. Une requête HTTP spécialement conçue peut contourner un gestionnaire de fichiers Apache et accéder directement aux données des fichiers ou au contenu du fork de ressources. Cette mise à jour modifie la configuration d’Apache de manière à refuser les requêtes de données des fichiers ou de contenu du fork de ressources via leurs noms de fichiers spéciaux. Pour plus d’informations, consultez ce document. Merci à NetSec d’avoir signalé ce problème.

Apache 2

Disponible pour : Mac OS X Server 10.3.6, Mac OS X Server 10.2.8

Références CVE : CAN-2004-0747, CAN-2004-0786, CAN-2004-0751, CAN-2004-0748

Conséquence : les configurations d’Apache 2 modifiées pouvaient permettre une réaffectation des privilèges pour les utilisateurs locaux et un déni de service à distance.

Description : une configuration d’Apache 2 modifiée par le client, dans laquelle la directive AllowOverride a été activée, pouvait permettre à un utilisateur local d’exécuter du code arbitraire en tant qu’utilisateur d’Apache (www). Ce problème n’affecte pas les configurations non modifiées. Cette mise à jour corrige également les bogues dans Apache qui pouvaient permettre à certains types de requêtes de bloquer le serveur. Apache a été mis à jour vers la version 2.0.52. Apache 2 n’est fourni qu’avec Mac OS X Server et est désactivé par défaut.

Appkit

Disponible pour : Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

Référence CVE : CAN-2004-1081

Conséquence : des caractères saisis dans un champ de texte sécurisé peuvent être lus par d’autres applications dans la même session de fenêtre.

Description : dans certains cas, un champ de saisie de texte sécurisé n’activera pas correctement la saisie sécurisée. Cela peut permettre à d’autres applications de la même session de fenêtre de voir certains caractères saisis et évènements clavier. La saisie dans des champs de texte sécurisés a été modifiée de manière à éviter toute fuite d’informations générée par la pression des touches.

Appkit

Disponible pour : Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

Références CVE : CAN-2004-0803, CAN-2004-0804, CAN-2004-0886

Conséquence : un problème de dépassement d’entier et de mauvaise vérification de la plage dans la gestion des images tiff pouvait permettre l’exécution de code arbitraire ou un déni de service.

Description : des problèmes au niveau du décodage des images tiff pouvaient écraser la mémoire, provoquer des erreurs arithmétiques entraînant un blocage ou permettre l’exécution de code arbitraire. Cette mise à jour corrige les problèmes de gestion des images tiff.

Cyrus IMAP

Disponible pour : Mac OS X Server 10.3.6

Référence CVE : CAN-2004-1089

Conséquence : lors de l’utilisation de l’authentification Kerberos avec Cyrus IMAP, un utilisateur authentifié pouvait obtenir un accès non autorisé à d’autres boîtes aux lettres sur le même système.

Description : lors de l’utilisation du mécanisme d’authentification Kerberos avec le serveur Cyrus IMAP, un utilisateur pouvait changer de boîte aux lettres après l’authentification et accéder à d’autres boîtes aux lettres sur le même système. Cette mise à jour lie la boîte aux lettres à l’utilisateur authentifié. Ce problème propre au serveur n’est pas présent sous Mac OS X Server 10.2.8. Merci à johan.gradvall@gothia.se de l’avoir signalé.

HIToolbox

Disponible pour : Mac OS X 10.3.6, Mac OS X Server 10.3.6

Référence CVE : CAN-2004-1085

Conséquence : les utilisateurs peuvent quitter des applications en mode kiosque.

Description : une combinaison de touches spéciale permettait aux utilisateurs d’afficher la fenêtre de fermeture forcée même en mode kiosque. Cette mise à jour empêchera toutes les combinaisons de touches permettant de forcer la fermeture de fonctionner en mode kiosque. Ce problème n’est pas présent sous Mac OS X 10.2.8 ou Mac OS X Server 10.2.8. Merci à Glenn Blauvelt de l’université du Colorado à Boulder de l’avoir signalé.

Kerberos

Disponible pour : Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

Références CVE : CAN-2004-0642, CAN-2004-0643, CAN-2004-0644, CAN-2004-0772

Conséquence : exposition à un potentiel déni de service lors de l’utilisation de l’authentification Kerberos

Description : MIT a sorti une nouvelle version de Kerberos qui corrige un problème de déni de service et trois erreurs de double free. Mac OS X intègre un système de protection contre les erreurs de double free. Cette mise à jour applique le correctif du problème de déni de service. Par mesure de précaution, les correctifs des erreurs de double free ont également été appliqués. Merci à l’équipe de développement de Kerberos du MIT d’avoir signalé ce problème et fourni des correctifs.

Postfix

Disponible pour : Mac OS X 10.3.6, Mac OS X Server 10.3.6

Référence CVE : CAN-2004-1088

Conséquence : l’utilisation de CRAM-MD5 par Postfix peut permettre à un utilisateur distant d’envoyer des e-mails sans s’authentifier correctement.

Description : les serveurs Postfix utilisant CRAM-MD5 pour authentifier les expéditeurs étaient vulnérables à une attaque par rejeu. Dans certaines circonstances, les informations d’identification utilisées pour authentifier un utilisateur pouvaient être réutilisées pendant une courte période. L’algorithme CRAM-MD5 servant à authentifier les utilisateurs a été mis à jour pour qu’il n’y ait plus de période de rejeu. Ce problème n’est pas présent sous Mac OS X 10.2.8 ou Mac OS X Server 10.2.8. Merci à Victor Duchovni de Morgan Stanley d’avoir signalé ce problème.

PSNormalizer

Disponible pour : Mac OS X 10.3.6, Mac OS X Server 10.3.6

Référence CVE : CAN-2004-1086

Conséquence : un problème de dépassement de la mémoire tampon dans la conversion de fichiers PostScript en fichiers PDF pouvait permettre l’exécution de code arbitraire.

Description : un problème de dépassement de la mémoire tampon au niveau de la gestion de la conversion de fichiers PostScript en fichiers PDF pouvait permettre l’exécution de code arbitraire. Cette mise à jour corrige le code de conversion de fichiers PostScript en fichiers PDF pour éviter le dépassement de la mémoire tampon. Ce problème n’est pas présent sous Mac OS X 10.2.8 ou Mac OS X Server 10.2.8.

QuickTime Streaming Server

Disponible pour : Mac OS X Server 10.3.6, Mac OS X Server 10.2.8

Référence CVE : CAN-2004-1123

Conséquence : des requêtes spécialement conçues pouvaient provoquer un déni de service.

Description : QuickTime Streaming Server était vulnérable à une attaque par déni de service lors de la gestion des requêtes DESCRIBE. Cette mise à jour corrige la gestion de ces requêtes. Merci à iDEFENSE d’avoir signalé ce problème.

Safari

Disponible pour : Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

Référence CVE : CAN-2004-1121

Conséquence : du code HTML spécialement conçu peut afficher un URI trompeur dans la barre d’état de Safari.

Description : Safari pouvait être amené à afficher dans sa barre d’état un URI trompeur qui n’était pas identique à la destination d’un lien. Cette mise à jour corrige Safari de manière à ce qu’il affiche désormais l’URI qui sera activé au moment d’être sélectionné.

Safari

Disponible pour : Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

Référence CVE : CAN-2004-1122

Conséquence : lorsque plusieurs fenêtres du navigateur étaient actives, les utilisateurs de Safari pouvaient être induits en erreur quant à la fenêtre qui activait une fenêtre contextuelle.

Description : lorsque plusieurs fenêtres Safari étaient ouvertes, une fenêtre contextuelle soigneusement programmée pouvait amener un utilisateur à penser qu’elle avait été activée par un autre site. Dans cette mise à jour, Safari place désormais une fenêtre qui active une fenêtre contextuelle devant toutes les autres fenêtres du navigateur. Merci à Secunia Research d’avoir signalé ce problème.

Terminal

Disponible pour : Mac OS X 10.3.6 et Mac OS X Server 10.3.6

Référence CVE : CAN-2004-1087

Conséquence : Terminal peut indiquer que la fonctionnalité « Saisie clavier sécurisée » est activée alors qu’elle ne l’est pas.

Description : le réglage du menu « Saisie clavier sécurisée » n’était pas correctement restauré lors du lancement de Terminal.app. Une coche s’affichait à côté de « Saisie clavier sécurisée » même si cette fonctionnalité n’était pas activée. Cette mise à jour corrige le comportement de la fonctionnalité « Saisie clavier sécurisée ». Ce problème n’est pas présent sous Mac OS X 10.2.8 ou Mac OS X Server 10.2.8. Merci à Jonathan « Wolf » Rentzsch de Red Shed Software de l’avoir signalé.

iCal 1.5.4

Référence CVE : CAN-2004-1021

Conséquence : les nouveaux calendriers iCal peuvent ajouter des alarmes sans approbation.

Description : les calendriers iCal peuvent inclure des notifications d’évènements par le biais d’alarmes. Ces alarmes peuvent ouvrir des programmes et envoyer des e-mails. iCal a été mis à jour pour afficher une fenêtre d’alerte lors de l’importation ou de l’ouverture de calendriers contenant des alarmes. iCal 1.5.4 est disponible sous Mac OS X 10.2.3 ou version ultérieure. Merci à aaron@vtty.com d’avoir signalé ce problème.

Mise à jour de sécurité 2004-10-27

Apple Remote Desktop

Disponible pour : client Apple Remote Desktop 1.2.4 avec Mac OS X 10.3.x

Référence CVE : CAN-2004-0962

Conséquence : une application peut être lancée en arrière-plan du processus loginwindow et s’exécuter en tant qu’application racine.

Description : pour un système présentant les conditions ci-dessous.

  • Le client Apple Remote Desktop est installé.

  • Un utilisateur sur le système client a été activé avec le privilège Ouvrir et quitter des applications.

  • Le nom et le mot de passe de l’utilisateur d’ARD sont connus.

  • La fonctionnalité Permutation d’utilisateur a été activée.

  • Un utilisateur est connecté, et le processus loginwindow a été activé par le biais de la fonctionnalité Permutation d’utilisateur.

Si l’application Apple Remote Desktop d’un administrateur sur un autre système était utilisée pour démarrer une application GUI sur le client, cette application GUI s’exécutait en tant qu’application racine en arrière-plan du processus loginwindow. Cette mise à jour empêche Apple Remote Desktop de lancer des applications lorsque le processus loginwindow est actif. Cette amélioration de sécurité est également présente dans Apple Remote Desktop 2.1. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X 10.3. Merci à Andrew Nakhla et Secunia Research de l’avoir signalé.

QuickTime 6.5.2

Référence CVE : CAN-2004-0988

Disponible pour : Microsoft Windows XP, Microsoft Windows 2000, Microsoft Windows ME et Microsoft Windows 98

Conséquence : un problème de dépassement d’entier peut être exploitable dans un environnement HTML.

Description : une extension de signe d’un entier court subissant un dépassement peut entraîner le transfert d’un nombre très important à une fonction de déplacement de la mémoire. Ce correctif empêche le dépassement de l’entier court. Ce problème n’existe pas dans QuickTime pour les systèmes Mac OS X. Merci à John Heasman de Next Generation Security Software Ltd. d’avoir signalé ce problème.

Référence CVE : CAN-2004-0926

Disponible pour : Mac OS X 10.3.x, Mac OS X Server 10.3.x, Mac OS X 10.2.8, Mac OS X Server 10.2.8, Microsoft Windows XP, Microsoft Windows 2000, Microsoft Windows ME et Microsoft Windows 98

Conséquence : un problème de dépassement de la mémoire tampon pouvait permettre à des attaquants d’exécuter du code arbitraire.

Description : des problèmes au niveau du décodage des images BMP pouvaient écraser la mémoire tampon et permettre l’exécution de code arbitraire masqué dans une image. Il s’agit de la même amélioration de sécurité que celle incluse dans la mise à jour de sécurité 2004-09-30. Elle peut être déployée sur les configurations système supplémentaires sur lesquelles porte cette mise à jour de QuickTime.

Mise à jour de sécurité 2004-09-30 (publiée le 4 octobre 2004)

AFP Server

Disponible pour : Mac OS X 10.3.5 et Mac OS X Server 10.3.5

Référence CVE : CAN-2004-0921

Conséquence : un déni de service permet à un invité de déconnecter des volumes AFP.

Description : un volume AFP monté par un invité pouvait servir à mettre fin aux montages d’un utilisateur authentifié à partir du même serveur en modifiant les paquets SessionDestroy. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X 10.3 ou Mac OS X Server 10.3.

AFP Server

Disponible pour : Mac OS X 10.3.5 et Mac OS X Server 10.3.5

Référence CVE : CAN-2004-0922

Conséquence : une boîte de dépôt AFP en écriture seule peut être définie en lecture-écriture.

Description : une boîte de dépôt en écriture seule sur un volume AFP monté par un invité pouvait parfois être en lecture-écriture en raison d’un réglage incorrect de l’identifiant du groupe invité. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X 10.3 ou Mac OS X Server 10.3.

CUPS

Disponible pour : Mac OS X 10.3.5, Mac OS X Server 10.3.5, Mac OS X 10.2.8, Mac OS X Server 10.2.8

Référence CVE : CAN-2004-0558

Conséquence : un déni de service entraîne le blocage du système d’impression.

Description : la mise en œuvre du protocole Internet Printing Protocol (IPP) dans CUPS peut se bloquer lorsqu’un paquet UDP spécifique est envoyé au port IPP.

CUPS

Disponible pour : Mac OS X 10.3.5, Mac OS X Server 10.3.5, Mac OS X 10.2.8, Mac OS X Server 10.2.8

Référence CVE : CAN-2004-0923

Conséquence : les mots de passe utilisateur sont divulgués en local.

Description : certaines méthodes d’impression à distance authentifiée pouvaient divulguer des mots de passe utilisateur dans les historiques du système d’impression. Merci à Gary Smith du département des services informatiques de l’université calédonienne de Glasgow d’avoir signalé ce problème.

NetInfo Manager

Disponible pour : Mac OS X 10.3.5 et Mac OS X Server 10.3.5

Référence CVE : CAN-2004-0924

Conséquence : l’état du compte n’est pas correctement indiqué.

Description : l’utilitaire NetInfo Manager peut activer le compte « racine », mais après une seule connexion « root », il n’est plus possible d’utiliser NetInfo Manager pour désactiver ce compte, qui apparaît désactivé alors qu’il ne l’est pas. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X 10.3 ou Mac OS X Server 10.3.

postfix

Disponible pour : Mac OS X 10.3.5 et Mac OS X Server 10.3.5

Référence CVE : CAN-2004-0925

Conséquence : un déni de service se produit une fois l’authentification SMTPD AUTH activée.

Description : une fois l’authentification SMTPD AUTH activée dans Postfix, une mémoire tampon contenant le nom d’utilisateur n’est pas correctement effacée entre les tentatives d’authentification. Seuls les utilisateurs dont le nom est le plus long peuvent s’authentifier. Ce problème n’affecte pas les systèmes antérieurs à Mac OS X 10.3 ou Mac OS X Server 10.3. Merci à Michael Rondinelli d’EyeSee360 de l’avoir signalé.

QuickTime

Disponible pour : Mac OS X 10.3.5, Mac OS X Server 10.3.5, Mac OS X 10.2.8, Mac OS X Server 10.2.8

Référence CVE : CAN-2004-0926

Conséquence : un problème de dépassement de la mémoire tampon pouvait permettre à des attaquants d’exécuter du code arbitraire.

Description : des problèmes au niveau du décodage des images BMP pouvaient écraser la mémoire tampon et permettre l’exécution de code arbitraire masqué dans une image.

ServerAdmin

Disponible pour : Mac OS X Server 10.3.5 et Mac OS X Server 10.2.8

Référence CVE : CAN-2004-0927

Conséquence : la communication entre le client et le serveur avec ServerAdmin peut être lue en décodant les sessions capturées.

Description : la communication entre le client et le serveur avec ServerAdmin utilise le SSL. Tous les systèmes sont fournis avec le même certificat auto-signé. Si ce certificat n’a pas été remplacé, la communication ServerAdmin peut être déchiffrée. Ce correctif remplace le certificat auto-signé existant par un certificat généré en local de façon unique. Merci à Michael Bartosh de 4am Media, Inc. d’avoir signalé ce problème.

Mise à jour de sécurité 2004-09-16

iChat

Référence CVE : CAN-2004-0873

Conséquence : des participants iChat à distance peuvent envoyer des « liens » qui, en cliquant dessus, peuvent démarrer des programmes locaux.

Description : un participant iChat distant peut envoyer un « lien » référençant un programme sur le système local. Si ce « lien » est activé en cliquant dessus et qu’il pointe vers un programme local, celui-ci s’exécute. iChat a été modifié afin que les « liens » de ce type ouvrent une fenêtre du Finder affichant le programme au lieu de l’exécuter. Merci à aaron@vtty.com d’avoir signalé ce problème.

Disponibilité : cette mise à jour est disponible pour les versions iChat ci-dessous.

- iChat AV 2.1 (Mac OS X 10.3.5 ou version ultérieure)

- iChat AV 2.0 (Mac OS X 10.2.8)

- iChat 1.0.1 (Mac OS X 10.2.8)

Mise à jour de sécurité 2004-09-07

Cette mise à jour de sécurité est disponible pour les versions des systèmes ci-dessous.

- Mac OS X 10.3.4

- Mac OS X 10.3.5

- Mac OS X Server 10.3.4

- Mac OS X Server 10.3.5

- Mac OS X 10.2.8

- Mac OS X Server 10.2.8

Conseil : pour plus d’informations sur les références CVE répertoriées ci-dessous, consultez le site web http://www.cve.mitre.org/.

Composant : Apache 2

Références CVE : CAN-2004-0493, CAN-2004-0488

Disponible pour : Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : exposition à un potentiel déni de service

Description : l’organisation Apache a publié la version 2.0.50 d’Apache. Cette version corrige un certain nombre de vulnérabilités liées aux dénis de services. Nous avons mis à jour Apache vers la version 2.0.50, qui n’est fournie qu’avec Mac OS X Server et qui est désactivée par défaut.

Composant : CoreFoundation

Référence CVE : CAN-2004-0821

Disponible pour : Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : des programmes privilégiés utilisant CoreFoundation peuvent être créés pour charger une bibliothèque fournie par l’utilisateur.

Description : les bundles utilisant les fonctions CFPlugIn de CoreFoundation peuvent inclure des instructions pour charger automatiquement des fichiers exécutables de plug-in. Avec un bundle spécialement conçu, ce problème pouvait également se produire avec les programmes privilégiés, ce qui permettait une réaffectation des privilèges locaux. CoreFoundation empêche désormais le chargement automatique de fichiers exécutables pour les bundles pour lesquels un fichier exécutable a déjà été chargé. Merci à Kikuchi Masashi (kik@ms.u-tokyo.ac.jp) d’avoir signalé ce problème.

Composant : CoreFoundation

Référence CVE : CAN-2004-0822

Disponible pour : Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : une variable d’environnement peut être manipulée pour provoquer un dépassement de la mémoire tampon, ce qui peut entraîner une réaffectation des privilèges.

Description : en manipulant une variable d’environnement, un programme pouvait être créé pour permettre à un attaquant local d’exécuter du code arbitraire. Cette faille pouvait être exploitée uniquement en ayant accès à un compte local. Des vérifications de validité plus strictes sont désormais effectuées pour cette variable d’environnement. Merci à aaron@vtty.com d’avoir signalé ce problème.

Composant : IPSec

Référence CVE : CAN-2004-0607

Disponible pour : Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : lors de l’utilisation de certificats, les hôtes non authentifiés peuvent être en mesure de négocier une connexion IPSec.

Description : lorsque des certificats X.509 sont utilisés pour authentifier des hôtes distants, l’échec de la vérification des certificats n’entraîne pas l’abandon de l’échange de clés. Par défaut, Mac OS X n’utilise pas de certificats pour IPSec. Ce problème n’affecte donc que les configurations configurées manuellement. Désormais, IPSec vérifie et abandonne l’échange de clés en cas d’échec de la vérification des certificats.

Composant : Kerberos

Référence CVE : CAN-2004-0523

Disponible pour : Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : plusieurs problèmes de dépassement de la mémoire tampon dans krb5_aname_to_localname pour MIT Kerberos 5 (krb5) 1.3.3 et versions antérieures pouvaient permettre à des attaquants distants d’exécuter du code arbitraire.

Description : le problème de dépassement de la mémoire tampon peut être exploité uniquement si la prise en charge de « auth_to_local_names » ou de « auth_to_local » est également configurée dans le fichier edu.mit.Kerberos. Apple ne l’active pas par défaut. Ce correctif de sécurité a été rétroporté et appliqué aux versions Mac OS X de Kerberos. La version Mac OS X et Mac OS X Server de Kerberos n’est pas affectée par le récent problème de « double free » signalé dans la note de vulnérabilité VU#350792 (CAN-2004-0772) du CERT. Merci à l’équipe de développement de Kerberos du MIT de nous avoir informés de ce problème.

Composant : lukemftpd

Référence CVE : CAN-2004-0794

Disponible pour : Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : un problème de concurrence peut permettre à un attaquant distant authentifié de provoquer un déni de service ou d’exécuter du code arbitraire.

Description : si le service FTP a été activé et qu’un attaquant distant parvient à s’authentifier correctement, un problème de concurrence lui permettrait d’arrêter le service FTP ou d’exécuter du code arbitraire. Ce correctif remplace le service FTP lukemftpd par tnftpd. lukemftp est installé, mais n’est pas activé sous Mac OS X Server, qui utilise xftp à la place. Merci à Luke Mewburn de la NetBSD Foundation de nous avoir informés de ce problème.

Composant : OpenLDAP

Référence CVE : CAN-2004-0823

Disponible pour : Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : un mot de passe chiffré peut être utilisé comme s’il s’agissait d’un mot de passe en texte brut.

Description : la rétrocompatibilité avec les implémentations LDAP plus anciennes permet de stocker un mot de passe chiffré dans l’attribut userPassword. Certains procédés de validation de l’authentification peuvent utiliser cette valeur comme s’il s’agissait d’un mot de passe en texte brut. Ce correctif supprime cette ambiguïté et inclut l’utilisation systématique d’un mot de passe chiffré dans ce type de champ. Ce problème ne se produit pas sous Mac OS X 10.2.8. Merci à Steve Revilak de Kayak Software Corporation de l’avoir signalé.

Composant : OpenSSH

Référence CVE : CAN-2004-0175

Disponible pour : Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : un serveur ssh/scp malveillant peut écraser des fichiers locaux.

Description : une vulnérabilité au niveau du parcours de répertoire dans le programme spc permet à un serveur distant malveillant d’écraser des fichiers locaux. Ce correctif de sécurité a été rétroporté et appliqué aux versions Mac OS X d’OpenSSH.

Composant : PPPDialer

Référence CVE : CAN-2004-0824

Disponible pour : Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : un utilisateur malveillant peut écraser des fichiers système, entraînant ainsi une réaffectation des privilèges locaux.

Description : les composants PPP établissaient des accès non sécurisés à un fichier stocké dans un emplacement accessible en écriture par tous. Ce correctif déplace les historiques vers un emplacement qui n’est pas accessible en écriture par tous.

Composant : QuickTime Streaming Server

Disponible pour : Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Référence CVE : CAN-2004-0825

Conséquence : un déni de service nécessite un redémarrage de QuickTime Streaming Server.

Description : une séquence particulière d’opérations côté client peut entraîner un blocage de QuickTime Streaming Server. Ce correctif met à jour le code afin que ce blocage n’ait plus lieu.

Composant : rsync

Référence CVE : CAN-2004-0426

Disponible pour : Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : lorsque rsync est exécuté en mode démon, un attaquant distant peut écrire en dehors du chemin d’accès du module, sauf si l’option chroot a été définie.

Description : les versions de rsync antérieures à la version 2.6.1 ne nettoient pas correctement les chemins d’accès lors de l’exécution d’un démon en lecture/écriture avec l’option chroot désactivée. Ce correctif met à jour rsync vers la version 2.6.2.

Composant : Safari

Référence CVE : CAN-2004-0361

Disponible pour : Mac OS X 10.2.8, Mac OS X Server 10.2.8

Conséquence : un tableau JavaScript de taille négative peut provoquer l’accès de Safari à la mémoire hors limites, entraînant ainsi un blocage de l’application.

Description : le stockage d’objets dans un tableau JavaScript alloué à une taille négative peut écraser la mémoire. Safari cesse désormais de traiter les programmes JavaScript en cas d’échec de l’allocation d’un tableau. Cette amélioration de sécurité était incluse dans Safari 1.0.3, mais elle également appliquée au système d’exploitation Mac OS X 10.2.8 à titre de protection supplémentaire pour les clients qui n’ont pas installé cette version de Safari. Il s’agit d’un correctif propre à Mac OS X 10.2.8, et ce problème n’existe pas sous Mac OS X 10.3 ou les systèmes d’exploitation ultérieurs.

Composant : Safari

Référence CVE : CAN-2004-0720

Disponible pour : Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : un site web non fiable peut injecter du contenu dans un cadre destiné à être utilisé par un autre domaine.

Description : un site web utilisant plusieurs cadres peut voir certains de ses cadres remplacés par le contenu d’un site malveillant si ce dernier est visité en premier. Ce correctif impose un ensemble de règles parent/enfant qui empêche ce type d’attaque.

Composant : SquirrelMail

Référence CVE : CAN-2004-0521

Disponible pour : Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : les versions de SquirrelMail antérieures à la version 1.4.3 RC1 permettent à des attaquants distants d’exécuter des instructions SQL non autorisées.

Description : les versions de SquirrelMail antérieures à la version 1.4.3 RC1 sont vulnérables à l’injection SQL, ce qui permet l’exécution d’instructions SQL non autorisées. Ce correctif met à jour SquirrelMail vers la version 1.4.3a.

Composant : tcpdump

Références CVE : CAN-2004-0183, CAN-2004-0184

Disponible pour : Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Conséquence : des paquets malveillants peuvent provoquer le blocage d’un tcpdump en cours d’exécution.

Description : les fonctions d’impression détaillées des paquets ISAKMP ne vérifient pas correctement les limites et provoquent une lecture hors limites, ce qui entraîne un blocage. Ce correctif met à jour tcpdump vers la version 3.8.3.

Mac OS X 10.3.5

Conseil : pour plus d’informations sur les références CVE répertoriées ci-dessous, consultez le site web http://www.cve.mitre.org/.

libpng (Portable Network Graphics)

Références CVE : CAN-2002-1363, CAN-2004-0421, CAN-2004-0597, CAN-2004-0598, CAN-2004-0599

Conséquence : des images PNG malveillantes peuvent entraîner des blocages de l’application et l’exécution de code arbitraire.

Description : plusieurs problèmes de dépassement de la mémoire tampon, de déréférencement du pointeur null et de dépassement d’entier ont été identifiés dans la bibliothèque de références pour la lecture et l’écriture d’images PNG. Ces vulnérabilités ont été corrigées dans libpng, qui est utilisée par les frameworks CoreGraphics et AppKit sous Mac OS X. Une fois cette mise à jour installée, ces problèmes n’affecteront plus les applications utilisant le format d’image PNG via ces frameworks.

Safari:

Référence CVE : CAN-2004-0743

Conséquence : dans une situation particulière, la navigation à l’aide des boutons Suivant/Précédent peut renvoyer des données de formulaire à une URL utilisant la méthode GET.

Description : ce problème survient lorsqu’un formulaire web est envoyé à un serveur à l’aide de la méthode POST, qui envoie une redirection HTTP à une URL utilisant la méthode GET. L’utilisation des boutons Suivant/Précédent conduit Safari à renvoyer via la méthode POST les données du formulaire à l’URL utilisant la méthode GET. Safari a été modifié de sorte que, dans cette situation, seule la méthode GET soit utilisée pour la navigation à l’aide des boutons Suivant/Précédent. Merci à Rick Osterberg de l’équipe FAS Computer Services de l’université Harvard d’avoir signalé ce problème.

TCP/IP Networking:

Référence CVE : CAN-2004-0744

Conséquence : des fragments IP malveillants peuvent utiliser un trop grand nombre de ressources système, empêchant ainsi le réseau de fonctionner normalement.

Description : la « Rose Attack » désigne une séquence de fragments IP spécialement conçue pour consommer des ressources système. L’implémentation TCP/IP a été modifiée pour limiter la consommation des ressources et empêcher cette attaque par déni de service. Merci à Ken Hollis (gandalf@digital.net) et Chuck McAuley (chuck-at-lemure-dot-net) d’avoir signalé ce problème lors d’une discussion portant sur la « Rose Attack ».

Mise à jour de sécurité 2004-08-09 (Mac OS X 10.3.4 et 10.2.8)

Conseil : pour plus d’informations sur les références CVE répertoriées ci-dessous, consultez le site web http://www.cve.mitre.org/.

libpng (Portable Network Graphics)

Références CVE : CAN-2002-1363, CAN-2004-0421, CAN-2004-0597, CAN-2004-0598, CAN-2004-0599

Conséquence : des images PNG malveillantes peuvent entraîner des blocages de l’application et l’exécution de code arbitraire.

Description : plusieurs problèmes de dépassement de la mémoire tampon, de déréférencement du pointeur null et de dépassement d’entier ont été identifiés dans la bibliothèque de références pour la lecture et l’écriture d’images PNG. Ces vulnérabilités ont été corrigées dans libpng, qui est utilisée par les frameworks CoreGraphics et AppKit sous Mac OS X. Une fois cette mise à jour installée, ces problèmes n’affecteront plus les applications utilisant le format d’image PNG via ces frameworks.

Mise à jour de sécurité 2004-06-07 (Mac OS X 10.3.4 et 10.2.8)

La mise à jour de sécurité 2004-06-07 apporte un certain nombre d’améliorations en matière de sécurité. Elle est recommandée pour tous les utilisateurs d’ordinateurs Macintosh. Cette mise à jour vise à améliorer la sécurité en vous avertissant lors de la première ouverture d’une application via des mappages de documents ou une adresse web (URL). Veuillez consulter cet article pour obtenir plus d’informations, notamment une description de la boîte de dialogue de la nouvelle alerte. La mise à jour de sécurité 2004-06-07 est disponible pour les versions des systèmes ci-dessous :

- Mac OS X 10.3.4 « Panther »

- Mac OS X Server 10.3.4 « Panther »

- Mac OS X 10.2.8 « Jaguar »

- Mac OS X Server 10.2.8 « Jaguar »

LaunchServices

Référence CVE : CAN-2004-0538

Conséquence : LaunchServices enregistre automatiquement les applications, ce qui pouvait servir à provoquer l’exécution d’applications inattendues par le système.

Discussion : LaunchServices est un composant système qui identifie et ouvre des applications. Il a été modifié de manière à ouvrir uniquement les applications qui ont déjà été explicitement exécutées sur le système. Toute tentative d’exécution d’une application qui n’a pas déjà été explicitement exécutée entraînera l’affichage d’une alerte utilisateur. Des informations supplémentaires sont disponibles dans cet article.

Composant : DiskImageMounter

Référence CVE : aucune référence CVE n’a été réservée, car il s’agit uniquement d’une mesure préventive supplémentaire.

Conséquence : le type d’URL disk:// monte un système de fichiers distant anonyme à l’aide du protocole http.

Discussion : l’enregistrement du type d’URL disk:// a été supprimé du système à titre de mesure préventive contre les tentatives de montage automatique de systèmes de fichiers d’image disque distants.

Safari

Référence CVE : CAN-2004-0539

Conséquence : le bouton « Afficher dans le Finder » ouvrait certains fichiers téléchargés, ce qui entraînait l’exécution d’applications téléchargées dans certains cas.

Discussion : le bouton « Afficher dans le Finder » affiche désormais les fichiers dans une fenêtre du Finder et ne tente plus de les ouvrir. Cette modification est uniquement disponible pour les systèmes Mac OS X 10.3.4 « Panther » et Mac OS X Server 10.3.4 « Panther », car le problème n’affecte pas Mac OS X 10.2.8 « Jaguar » ou Mac OS X Server 10.2.8 « Jaguar ».

Terminal

Référence CVE : non applicable

Conséquence : échec des tentatives d’utilisation d’une URL de type telnet:// avec un numéro de port alternatif

Discussion : une modification a été apportée afin de permettre la spécification d’un numéro de port alternatif dans une URL de type telnet://. Cette modification restaure la fonctionnalité qui avait été supprimée avec le récent correctif de CAN-2004-0485.

Mac OS X 10.3.4

  • NFS : corrige CAN-2004-0513 pour améliorer la journalisation lors du suivi des appels système. Merci à David Brown (dave@spoonguard.org) d’avoir signalé ce problème.

  • LoginWindow : corrige CAN-2004-0514 pour améliorer la gestion des recherches dans les services d’annuaire.

  • LoginWindow : corrige CAN-2004-0515 pour améliorer la gestion des historiques de la console. Merci à aaron@vtty.com d’avoir signalé ce problème.

  • Packaging : corrige CAN-2004-0516 pour améliorer les scripts d’installation des paquets. Merci à aaron@vtty.com d’avoir signalé ce problème.

  • Packaging : corrige CAN-2004-0517 pour améliorer la gestion des identifiants de processus lors de l’installation des paquets. Merci à aaron@vtty.com d’avoir signalé ce problème.

  • TCP/IP : corrige CAN-2004-0171 pour améliorer la gestion des paquets TCP hors séquence.

  • AppleFileServer : corrige CAN-2004-0518 pour améliorer l’utilisation de SSH et le signalement d’erreurs.

  • Terminal : corrige CAN-2004-0485 pour améliorer la gestion des URL. Merci à RenÌ© Puls (rpuls@gmx.net) d’avoir signalé ce problème.

Remarque : Mac OS X 10.3.4 intègre les mises à jour de sécurité 2004-04-05 et 2004-05-03.

Mise à jour de sécurité 2004-05-24 pour Mac OS X 10.3.3 « Panther » et Mac OS X Server 10.3.3

  • HelpViewer : corrige CAN-2004-0486 pour garantir que HelpViewer ne traitera que les scripts qu’il a initiés. Merci à lixlpixel Remarque : cette mise à jour peut aussi être installée sous Mac OS X 10.3.4 et Mac OS X Server 10.3.4

Mise à jour de sécurité 2004-05-24 pour Mac OS X 10.2.8 « Jaguar » et Mac OS X Server 10.2.8

  • HelpViewer : corrige CAN-2004-0486 pour garantir que HelpViewer ne traitera que les scripts qu’il a initiés. Merci à lixlpixel

  • Terminal : corrige CAN-2004-0485 pour améliorer le traitement des URL dans Terminal. Merci à RenÌ© Puls

Mise à jour de sécurité 2004-05-03 pour Mac OS X 10.3.3 « Panther » et Mac OS X Server 10.3.3

  • AppleFileServer : corrige CAN-2004-0430 pour améliorer la gestion des mots de passe longs. Merci à Dave G. de @stake d’avoir signalé ce problème.

  • Apache 2 : corrige CAN-2003-0020, CAN-2004-0113 et CAN-2004-0174 en mettant à jour Apache 2 vers la version 2.0.49.

  • CoreFoundation : corrige CAN-2004-0428 pour améliorer la gestion d’une variable d’environnement. Merci à aaron@vtty.com d’avoir signalé ce problème.

  • IPSec : corrige CAN-2004-0155 et CAN-2004-0403 pour améliorer la sécurité des tunnels VPN. Sous Mac OS X, IPSec n’est pas vulnérable à CAN-2004-0392.

La mise à jour de sécurité 2004-04-05 a été intégrée à celle-ci.

Mise à jour de sécurité 2004-05-03 pour Mac OS X 10.2.8 « Jaguar » et Mac OS X Server 10.2.8

  • AppleFileServer : corrige CAN-2004-0430 pour améliorer la gestion des mots de passe longs. Merci à Dave G. de @stake d’avoir signalé ce problème.

  • Apache 2 : corrige CAN-2003-0020, CAN-2004-0113 et CAN-2004-0174 en mettant à jour Apache 2 vers la version 2.0.49.

  • CoreFoundation : corrige CAN-2004-0428 pour améliorer la gestion d’une variable d’environnement. Merci à aaron@vtty.com d’avoir signalé ce problème.

  • IPSec : corrige CAN-2004-0155 et CAN-2004-0403 pour améliorer la sécurité des tunnels VPN. Sous Mac OS X, IPSec n’est pas vulnérable à CAN-2004-0392.

  • Server Settings daemon : corrige CAN-2004-0429 pour améliorer la gestion des requêtes volumineuses.

La mise à jour de sécurité 2004-04-05 a été intégrée à celle-ci.

QuickTime 6.5.1

  • Corrige CAN-2004-0431 , une vulnérabilité à cause de laquelle la lecture d’un fichier .mov (film) malformé pouvait entraîner la fermeture de QuickTime.

Mise à jour de sécurité 2004-04-05 pour Mac OS X 10.3.3 « Panther » et Mac OS X Server 10.3.3

  • CUPS Printing : corrige CAN-2004-0382 pour améliorer la sécurité du système d’impression. Il s’agit d’une modification du fichier de configuration qui n’affecte pas le système d’impression sous-jacent. Merci à aaron@vtty.com d’avoir signalé ce problème.

  • libxml2 : corrige CAN-2004-0110 pour améliorer la gestion des Uniform Resource Locators (URL).

  • Mail : corrige CAN-2004-0383 pour améliorer la gestion des e-mails au format HTML. Merci à aaron@vtty.com d’avoir signalé ce problème.

  • OpenSSL : corrige CAN-2004-0079 et CAN-2004-0112 pour améliorer la gestion des choix de chiffrement.

Mise à jour de sécurité 2004-04-05 pour Mac OS X 10.2.8 « Jaguar » et Mac OS X Server 10.2.8

  • CUPS Printing : corrige CAN-2004-0382 pour améliorer la sécurité du système d’impression. Merci à aaron@vtty.com d’avoir signalé ce problème.

La mise à jour de sécurité 2004-01-26 a été intégrée à celle-ci. Les améliorations de sécurité supplémentaires fournies pour Panther dans la mise à jour de sécurité 2004-04-05 n’affectent pas la plateforme 10.2.

Mise à jour de sécurité 2004-02-23 pour Mac OS X 10.3.2 « Panther » et Mac OS X Server 10.3.2

  • CoreFoundation : corrige CAN-2004-0168 pour améliorer la journalisation des notifications. Merci à aaron@vtty.com d’avoir signalé ce problème.

  • DiskArbitration : corrige CAN-2004-0167 pour gérer de manière plus sûre l’initialisation de supports amovibles inscriptibles. Merci à aaron@vtty.com d’avoir signalé ce problème.

  • IPSec : corrige CAN-2004-0164 pour améliorer la vérification de l’échange de clés.

  • Point-to-Point-Protocol : corrige CAN-2004-0165 pour améliorer la gestion des messages d’erreur. Merci à Dave G. de @stake et Justin Tibbs de Secure Network Operations (SRT) d’avoir signalé ce problème.

  • tcpdump : corrige CAN-2003-0989, CAN-2004-0055 et CAN-2004-0057 en mettant à jour tcpdump vers la version 3.8.1 et libpcap vers la version 0.8.1

  • QuickTime Streaming Server : corrige CAN-2004-0169 pour améliorer la vérification des données de requête. Merci à iDEFENSE Labs d’avoir signalé ce problème. Les mises à jour de Streaming Server pour les autres plateformes sont disponibles sur le site web suivant : http://developer.apple.com/darwin/.

Mise à jour de sécurité 2004-02-23 pour Mac OS X 10.2.8 « Jaguar » et Mac OS X Server 10.2.8

  • DiskArbitration : corrige CAN-2004-0167 pour gérer de manière plus sûre l’initialisation de supports amovibles inscriptibles. Merci à aaron@vtty.com d’avoir signalé ce problème.

  • IPSec : corrige CAN-2004-0164 pour améliorer la vérification de l’échange de clés.

  • Point-to-Point-Protocol : corrige CAN-2004-0165 pour améliorer la gestion des messages d’erreur. Merci à Dave G. de @stake et Justin Tibbs de Secure Network Operations (SRT) d’avoir signalé ce problème.

  • Safari : corrige CAN-2004-0166 pour améliorer l’affichage des URL dans la barre d’état.

  • QuickTime Streaming Server : corrige CAN-2004-0169 pour améliorer la vérification des données de requête. Merci à iDEFENSE Labs d’avoir signalé ce problème. Les mises à jour de Streaming Server pour les autres plateformes sont disponibles sur le site web suivant : http://developer.apple.com/darwin/.

La mise à jour de sécurité 2004-01-26 pour Mac OS X Server 10.2.8 a été intégrée à celle-ci.

Mise à jour de sécurité 2004-01-26 pour Mac OS X 10.1.5 « Puma » et Mac OS X Server 10.1.5

  • Mail : corrige CAN-2004-0085 pour améliorer la sécurité de l’application de messagerie d’Apple.

Mise à jour de sécurité 2004-01-26 pour Mac OS X 10.2.8 « Jaguar » et Mac OS X Server 10.2.8

  • AFP Server : apporte des améliorations supplémentaires à AFP par rapport à la mise à jour de sécurité 2003-12-19.

  • Apache 1.3 : corrige CAN-2003-0542, un problème de dépassement de la mémoire tampon dans les modules mod_alias et mod_rewrite du serveur web Apache.

  • Apache 2 : (installé uniquement sur Server) corrige CAN-2003-0542 et CAN-2003-0789 en mettant à jour Apache 2.0.47 vers 2.0.48. Pour en savoir plus sur cette mise à jour, consultez le site web http://www.apache.org/dist/httpd/Announcement2.html

  • Classic : corrige CAN-2004-0089 pour améliorer la gestion des variables d’environnement. Merci à Dave G. de @stake d’avoir signalé ce problème.

  • Mail : corrige CAN-2004-0085 pour améliorer la sécurité de l’application de messagerie d’Apple.

  • Safari : corrige CAN-2004-0092 en améliorant la sécurité du navigateur web Safari.

  • System Configuration : corrige CAN-2004-0087 et CAN-2004-0088, des vulnérabilités à cause desquelles le sous-système Configuration système permettait à des utilisateurs distants qui n’étaient pas des administrateurs de modifier les réglages réseau et d’apporter des modifications à la configuration de configd. Merci à Dave G. de @stake d’avoir signalé ces problèmes.

La mise à jour de sécurité 2003-12-19 a été intégrée à celle-ci. Les améliorations de sécurité supplémentaires contenues dans la mise à jour de sécurité 2004-01-26 pour Mac OS X 10.3.2 « Panther » ne sont pas incluses dans cette mise à jour pour Jaguar, car ces problèmes n’affectent pas Jaguar.

Mise à jour de sécurité 2004-01-26 pour Mac OS X 10.3.2 « Panther » et Mac OS X Server 10.3.2

  • Apache 1.3 : corrige CAN-2003-0542, un problème de dépassement de la mémoire tampon dans les modules mod_alias et mod_rewrite du serveur web Apache.

  • Apache 2 : (installé uniquement sur Server) corrige CAN-2003-0542 et CAN-2003-0789 en mettant à jour Apache 2.0.47 vers 2.0.48. Pour en savoir plus sur cette mise à jour, consultez le site web http://www.apache.org/dist/httpd/Announcement2.html.

  • Classic : corrige CAN-2004-0089 pour améliorer la gestion des variables d’environnement. Merci à Dave G. de @stake d’avoir signalé ce problème.

  • Mail : corrige CAN-2004-0086 pour améliorer la sécurité de l’application de messagerie d’Apple. Merci à Jim Roepcke d’avoir signalé ce problème.

  • Safari : corrige CAN-2004-0092 en améliorant la sécurité du navigateur web Safari.

  • System Configuration : corrige CAN-2004-0087, une vulnérabilité à cause de laquelle le sous-système Configuration système permettait à des utilisateurs distants qui n’étaient pas des administrateurs de modifier les réglages réseau. Merci à Dave G. de @stake d’avoir signalé ces problèmes.

  • Windows File Sharing : corrige CAN-2004-0090, une vulnérabilité à cause de laquelle le partage de fichiers Windows ne s’arrêtait pas correctement.

  • La mise à jour de sécurité 2003-12-19 a été intégrée à celle-ci. Les améliorations de sécurité supplémentaires contenues dans la mise à jour de sécurité 2004-01-26 pour Mac OS X 10.2.8 « Jaguar » ne sont pas incluses dans cette mise à jour pour Panther, car ces problèmes n’affectent pas Panther.

Mise à jour de sécurité 2003-12-19 pour Mac OS X 10.2.8 « Jaguar » et Mac OS X Server 10.2.8

  • AppleFileServer : corrige CAN-2003-1007 pour améliorer le traitement des requêtes malformées.

  • cd9660.util : corrige CAN-2003-1006, un problème de dépassement de la mémoire tampon dans l’utilitaire de système de fichiers cd9660.util. Merci à KF de Secure Network Operations d’avoir signalé ce problème.

  • Directory Services : corrige CAN-2003-1009. Les réglages par défaut ont été modifiés pour empêcher une connexion involontaire dans le cas où un serveur DHCP malveillant est présent sur le sous-réseau local de l’ordinateur. De plus amples informations sont disponibles dans l’article de la base de connaissances d’Apple suivant : http://docs.info.apple.com/article.html?artnum=32478. Merci à William A. Carrel d’avoir signalé ce problème.

  • Fetchmail : corrige CAN-2003-0792. Des mises à jour ont été apportées à Fetchmail pour améliorer sa stabilité dans certains cas.

  • fs_usage : corrige CAN-2003-1010. L’outil fs_usage a été amélioré pour empêcher une vulnérabilité liée à la réaffectation des privilèges locaux. Cet outil sert à collecter des informations sur les performances du système et nécessite des privilèges d’administrateur pour être exécuté. Merci à Dave G. de @stake d’avoir signalé ce problème.

  • rsync : corrige CAN-2003-0962 en améliorant la sécurité du serveur rsync.

  • System initialization : corrige CAN-2003-1011. Le processus d’initialisation du système a été amélioré afin de restreindre l’accès racine sur un système utilisant un clavier USB.

Remarque : les correctifs ci-dessous figurant dans « Mise à jour de sécurité 2003-12-19 pour Panther » ne sont pas inclus dans « Mise à jour de sécurité 2003-12-19 pour Jaguar », car ces problèmes n’affectent pas les versions Jaguar de Mac OS X et de Mac OS X Server.

- CAN-2003-1005 : décodage ASN.1 pour la PKI

- CAN-2003-1008 : extraits de texte sur l’économiseur d’écran

Mise à jour de sécurité 2003-12-19 pour Mac OS X 10.3.2 « Panther » et Mac OS X Server 10.3.2

  • ASN.1 Decoding for PKI : corrige CAN-2003-1005, un problème qui pouvait provoquer un déni de service lors de la réception de séquences ASN.1 malformées. Ce problème est lié à CAN-2003-0851, mais distinct de celui-ci.

  • AppleFileServer : corrige CAN-2003-1007 pour améliorer le traitement des requêtes malformées.

  • cd9660.util : corrige CAN-2003-1006, un problème de dépassement de la mémoire tampon dans l’utilitaire de système de fichiers cd9660.util. Merci à KF de Secure Network Operations d’avoir signalé ce problème.

  • Directory Services : corrige CAN-2003-1009.. Les réglages par défaut ont été modifiés pour empêcher une connexion involontaire dans le cas où un serveur DHCP malveillant est présent sur le sous-réseau local de l’ordinateur. De plus amples informations sont disponibles dans l’article de la base de connaissances d’Apple suivant : http://docs.info.apple.com/article.html?artnum=32478. Merci à William A. Carrel d’avoir signalé ce problème.

  • Fetchmail : corrige CAN-2003-0792. Des mises à jour ont été apportées à Fetchmail pour améliorer sa stabilité dans certains cas.

  • fs_usage : corrige CAN-2003-1010. L’outil fs_usage a été amélioré pour empêcher une vulnérabilité liée à la réaffectation des privilèges locaux. Cet outil sert à collecter des informations sur les performances du système et nécessite des privilèges d’administrateur pour être exécuté. Merci à Dave G. de @stake d’avoir signalé ce problème.

  • rsync : corrige CAN-2003-0962 en améliorant la sécurité du serveur rsync.

  • Screen Saver : corrige CAN-2003-1008. Lorsque la fenêtre de connexion Économiseur d’écran s’affiche, il n’est plus possible d’écrire un extrait de texte sur le bureau ou dans une application. Merci à Benjamin Kelly d’avoir signalé ce problème.

  • System initialization : corrige CAN-2003-1011. Le processus d’initialisation du système a été amélioré afin de restreindre l’accès racine sur un système utilisant un clavier USB.

Mise à jour de sécurité 2003-12-05

  • Safari : corrige CAN-2003-0975 afin de garantir que Safari fournira l’accès aux informations relatives aux cookies d’un utilisateur uniquement aux sites web autorisés. Cette mise à jour est disponible pour Mac OS X 10.3.1 et Mac OS X 10.2.8.

Mise à jour de sécurité 2003-11-19 pour 10.2.8

Apple a pour politique de corriger rapidement les vulnérabilités importantes présentes dans les versions antérieures de Mac OS X, dans la mesure du possible. La mise à jour de sécurité 2003-11-19 inclut des mises à jour de plusieurs composants de Mac OS X 10.2 qui répondent à ces critères.

  • gm4 : corrige CAN-2001-1411, une vulnérabilité au niveau de la chaîne de format dans l’utilitaire gm4. Aucun programme racine setuid ne s’appuyait sur gm4, et ce correctif est une mesure préventive contre les failles qui pourraient se présenter à l’avenir.

  • groff : corrige CVE-2001-1022, un problème à cause duquel le composant groff pic contenait une vulnérabilité au niveau de la chaîne de format.

  • Mail : corrige CAN-2003-0881. L’application Mac OS X Mail ne reviendra plus à la connexion en texte brut lorsqu’un compte aura été configuré pour utiliser l’authentification défi-réponse MD5.

  • OpenSSL : corrige CAN-2003-0851. L’analyse de séquences ASN.1 malformées particulières est désormais traitée de manière plus sûre.

  • Personal File Sharing : corrige CAN-2003-0878. Lorsque la fonctionnalité Partage de fichiers personnel est activée, le démon slpd ne peut plus créer de fichier racine dans le répertoire /tmp pour obtenir des privilèges élevés.

  • QuickTime for Java : corrige CAN-2003-0871, une vulnérabilité potentielle qui pouvait permettre un accès non autorisé à un système.

  • zlib : corrige CAN-2003-0107. Bien qu’aucune fonction de MacOS X n’utilisait la fonction gzprintf() vulnérable, le problème sous-jacent dans zlib a été résolu pour protéger toute application tierce susceptible d’utiliser cette bibliothèque.

Mise à jour de sécurité 2003-11-19 pour Panther 10.3.1

  • OpenSSL : corrige CAN-2003-0851. L’analyse de séquences ASN.1 malformées particulières est désormais traitée de manière plus sûre.

  • zlib : corrige CAN-2003-0107. Bien qu’aucune fonction de MacOS X n’utilisait la fonction gzprintf() vulnérable, le problème sous-jacent dans zlib a été résolu pour protéger toute application tierce susceptible d’utiliser cette bibliothèque.

Mise à jour de sécurité 2003-11-04

  • Terminal : corrige CAN-2003-0913, une potentielle vulnérabilité de l’application Terminal sous Mac OS X 10.3 et Mac OS X Server 10.3 qui pouvait permettre un accès non autorisé à un système. Ce problème n’affecte pas les versions de Mac OS X antérieures à la version 10.3.

Mise à jour de sécurité 2003-10-28

  • Corrige CAN-2003-0871, une potentielle vulnérabilité dans l’implémentation de QuickTime Java sous Mac OS X 10.3 et Mac OS X Server 10.3 qui pouvait permettre un accès non autorisé à un système.

Mac OS X 10.3 Panther

  • Finder : corrige CAN-2003-0876, une vulnérabilité à cause de laquelle les permissions de dossier peuvent ne pas être préservées lors de la copie d’un dossier à partir d’un volume monté tel qu’une image disque. Merci à Dave G. de @stake, Inc. d’avoir identifié ce problème.

  • Kernel : corrige CAN-2003-0877, une vulnérabilité à cause de laquelle si un système s’exécute avec la fonctionnalité de création de fichiers core activée, un utilisateur disposant d’un accès au shell interactif peut écraser des fichiers arbitraires et lire des fichiers core créés par des processus racine. Cette vulnérabilité peut compromettre la sécurité d’informations sensibles comme les identifiants d’authentification. La création de fichiers core est désactivée par défaut sous Mac OS X. Merci à Dave G. de @stake, Inc. d’avoir identifié ce problème.

  • slpd : corrige CAN-2003-0878, une vulnérabilité à cause de laquelle lorsque la fonctionnalité Partage de fichiers personnel est activée, le démon slpd peut créer un fichier racine dans le répertoire /tmp. Un fichier existant pouvait ainsi être écrasé et permettre à un utilisateur d’obtenir des privilèges élevés. La fonctionnalité Partage de fichiers personnel est désactivée par défaut sous Mac OS X. Merci à Dave G. de @stake, Inc. d’avoir identifié ce problème.

  • Kernel : corrige CAN-2003-0895, une vulnérabilité à cause de laquelle un utilisateur local peut provoquer le blocage du noyau de Mac OS X en spécifiant un argument de ligne de commande long. L’ordinateur redémarrera de lui-même au bout de quelques minutes. Merci à Dave G. de @stake, Inc. d’avoir identifié ce problème.

  • ktrace : corrige CVE-2002-0701, une faille théorique à cause de laquelle lorsque ktrace est activé via l’option de noyau KTRACE, un utilisateur local peut être en mesure d’obtenir des informations sensibles. Actuellement, ce problème ne semble affecter aucun utilitaire en particulier.

  • nfs : corrige CVE-2002-0830 pour le système de gestion de fichiers en réseau (NFS), une vulnérabilité à cause de laquelle un utilisateur distant peut être en mesure d’envoyer des messages RPC provoquant le verrouillage du système.

  • zlib : corrige CAN-2003-0107. Bien qu’aucune fonction de Mac OS X n’utilisait la fonction gzprintf() vulnérable, le problème sous-jacent inzlib a été corrigé.

  • gm4 : corrige CAN-2001-1411, une vulnérabilité au niveau de la chaîne de format dans l’utilitaire gm4. Aucun programme racine setuid ne s’appuyait sur gm4, et ce correctif est une mesure préventive contre les failles qui pourraient se présenter à l’avenir.

  • OpenSSH : corrige CAN-2003-0386, une vulnérabilité à cause de laquelle les restrictions « from= » et « user@hosts » peuvent être usurpées via le DNS inversé pour les adresses IP spécifiées numériquement. Mac OS X 10.3 intègre également des correctifs antérieurs publiés pour OpenSSH, et la version d’OpenSSH obtenue via la commande « ssh -V » est la suivante : OpenSSH_3.6.1p1+CAN-2003-0693, SSH protocols 1.5/2.0, OpenSSL 0x0090702f

  • nidump : corrige CAN-2001-1412 , une vulnérabilité à cause de laquelle l’utilitaire nidump permet d’accéder aux mots de passe chiffrés servant à authentifier les connexions.

  • System Preferences : corrige CAN-2003-0883, une vulnérabilité à cause de laquelle après l’authentification avec un mot de passe d’administrateur, le système continue d’autoriser l’accès aux sous-fenêtres de préférences sécurisées pendant une courte période. Cela pourrait permettre à un utilisateur local d’accéder aux sous-fenêtres de préférences qu’il ne pourrait normalement pas utiliser. Dans les préférences Sécurité de Mac OS X 10.3, il est désormais possible d’activer une option appelée « Exiger un mot de passe pour déverrouiller chaque préférence système sécurisée ». Merci à Anthony Holder d’avoir signalé ce problème.

  • TCP timestamp : corrige CAN-2003-0882 , une vulnérabilité à cause de laquelle l’horodateur TCP est initialisé avec un nombre constant. Cela pourrait permettre à une personne de savoir depuis combien de temps le système est en cours de fonctionnement en se basant sur l’identifiant des paquets TCP. Sous Mac OS X 10.3, l’horodateur TCP est désormais réinitialisé avec un nombre aléatoire. Merci à Aaron Linville d’avoir signalé ce problème et envoyé un correctif via le programme open source Darwin.

  • Mail : corrige CAN-2003-0881, une vulnérabilité à cause de laquelle dans l’application Mail de Mac OS X, si un compte est configuré pour utiliser l’authentification défi-réponse MD5, il tentera de se connecter à l’aide de CRAM-MD5, mais repassera à une authentification en texte brut en cas d’échec de la connexion hachée. Merci à Chris Adams d’avoir signalé ce problème.

  • Dock : corrige CAN-2003-0880, une vulnérabilité à cause de laquelle lorsque la fonctionnalité Accès clavier complet est activée via la sous-fenêtre Clavier des Préférences Système, les fonctions du Dock sont automatiquement accessibles depuis Effets d’écran.

Mac OS X 10.2.8

  • OpenSSL : corrige CAN-2003-0543, CAN-2003-0544 et CAN-2003-0545 pour résoudre les problèmes potentiels dans certaines structures ASN.1 et dans le code de validation des certificats. Afin de fournir la mise à jour de manière rapide et fiable, seuls les correctifs pour les références CVE répertoriées ci-dessus ont été appliqués, et non l’ensemble des correctifs pour l’intégralité de la bibliothèque OpenSSL la plus récente. Ainsi, la version d’OpenSSL sous Mac OS X 10.2.8, telle qu’obtenue via la commande « openssl version », est la suivante : OpenSSL 0.9.6i Feb 19 2003

  • OpenSSH : corrige CAN-2003-0693, CAN-2003-0695 et CAN-2003-0682 pour corriger les erreurs de gestion de la mémoire tampon dans les versions sshd d’OpenSSH antérieures à la version 3.7.1. Afin de fournir la mise à jour de manière rapide et fiable, seuls les correctifs pour les références CVE répertoriées ci-dessus ont été appliqués, et non l’ensemble des correctifs pour OpenSSH 3.7.1. Ainsi, la version d’OpenSSH sous Mac OS X 10.2.8, telle qu’obtenue via la commande « ssh -V », est la suivante : OpenSSH_3.4p1+CAN-2003-0693, SSH protocols 1.5/2.0, OpenSSL 0x0090609f

  • sendmail : corrige CAN-2003-0694 et CAN-2003-0681 pour résoudre un problème de dépassement de la mémoire tampon dans l’analyse des adresses, ainsi qu’un potentiel problème de dépassement de la mémoire tampon dans l’analyse de l’ensemble de règles.

  • fb_realpath() : corrige CAN-2003-0466, une erreur de décalage unitaire dans la fonction fb_realpath() qui peut permettre à des attaquants d’exécuter du code arbitraire.

  • arplookup() : corrige CAN-2003-0804. La fonction arplookup() met en cache les requêtes ARP pour les routages sur un lien local. Sur un sous-réseau local uniquement, un attaquant peut envoyer un nombre suffisant de requêtes ARP usurpées qui épuiseront la mémoire du noyau, provoquant ainsi un déni de service.

Pour en savoir plus sur les mises à jour de sécurité antérieures, consultez l’article « Mises à jour de sécurité Apple (jusqu’à août 2003) ».

Important : les renseignements concernant des produits non fabriqués par Apple ne sont fournis qu’à titre indicatif et ne constituent ni une recommandation ni une approbation de la part d’Apple. Pour obtenir des informations supplémentaires, veuillez contacter le fournisseur.

Important : les mentions de sites web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’assume aucune responsabilité en ce qui concerne la sélection, les performances ou l’utilisation des informations ou des produits disponibles sur les sites web tiers. Apple fournit ces informations uniquement pour rendre service à ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. L’utilisation d’informations ou de produits trouvés sur Internet comporte des risques, et Apple n’assume aucune responsabilité à cet égard. Veuillez noter que les sites web tiers sont indépendants d’Apple et qu’Apple n’a aucun contrôle sur leur contenu. Pour obtenir des informations supplémentaires, veuillez contacter le fournisseur.

Date de publication: