Appleova sigurnosna ažuriranja (kolovoz 2003. i starija)

U ovom se dokumentu opisuju sigurnosna ažuriranja za Appleove proizvode. Napomena: Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja.

Važno: U ovom se dokumentu opisuju ažuriranja i nova izdanja iz kolovoza 2003 (2003-08) i starija, npr. Mac OS X 10.1, 10.2, 10.2.6 i Sigurnosno ažuriranje 2003-08-14. Informacije o novijim sigurnosnim ažuriranjima potražite u jednom od sljedećih dokumenata:

• Appleova sigurnosna ažuriranja (od 25. siječnja 2005. i novija)

• Appleova sigurnosna ažuriranja (od 03. listopada 2003. do 11. siječnja 2005.)

Kupnja sustava Mac OS X

Informacije o tome kako nabaviti Mac OS X možete pronaći na web-mjestu za Mac OS X (http://www.apple.com/macosx/).

Informacije o tome kako nabaviti Mac OS X Server možete pronaći na web-mjestu za Mac OS X Server (http://www.apple.com/macosx/).

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite u tehničkom dokumentu 25314: Korištenje PGP ključa za sigurnost Appleovih proizvoda.

Ažuriranja softvera dostupna su kao:

• Preferencije za ažuriranje softvera

• Apple Downloads (http://www.apple.com/swupdates/)

Sigurnosna ažuriranja: 2003-08 i novija

Sigurnosna ažuriranja navedena su u nastavku prema izdanjima softvera u kojima su se prvotno pojavila. Kada je to moguće, CVE ID-jevi (http://cve.mitre.org/cve/) služe kao referenca za dodatne informacije o slabim točkama.

Informacije o novijim sigurnosnim ažuriranjima potražite u tehničkom dokumentu 61798: Appleova sigurnosna ažuriranja.

Sigurnosno ažuriranje 2003-08-14

• fb_realpath(): Odnosi se na CAN-2003-0466, potencijalnu slabu točku u funkciji fb_realpath(), posebno u FTPServer i Libc projektima, koja bi mogla omogućiti lokalnom ili udaljenom korisniku da dobije neovlaštene korijenske ovlasti za sustav.

Sigurnosno ažuriranje 2003-07-23

• Popravlja CAN-2003-0601 radi unaprjeđenja sigurnosti sustava dodjeljivanjem „onemogućene“ lozinke novom računu kojeg izrađuje Workgroup Manager sve do prvotnog spremanja tog računa. Time se osigurava da neovlašteni pojedinci ne mogu pristupiti novom računu.

Sigurnosno ažuriranje 2003-07-14

• Lozinka za efekte zaslona: popravlja CAN-2003-0518, potencijalnu slabu točku u potrebi unošenja lozinke nakon aktivacije uređaja nakon što su bili uključeni efekti zaslona, koja bi mogla omogućiti neovlaštenom korisniku pristup radnoj površini prijavljenog korisnika. Zahvaljujemo Denisu Ahrensu na prijavi problema.

Sigurnosno ažuriranje 2003-06-12 (samo za Mac OS X Server)

• Apache 2.0: popravlja CAN-2003-0245 ažuriranjem poslužitelja Apache 2.0.45 na verziju 2.0.46 radi otklanjanja sigurnosnog propusta u mod_dav modulu koji bi se mogao daljinski iskoristiti i prouzročiti obustavu rada web-poslužitelja Apache. Problem se ne odnosi na Apache 1.3, koji je primarni web-poslužitelj sustava Mac OS X Server. Mac OS X Server ima instaliran Apache 2.0, ali je on prema zadanim postavkama isključen.

• dsimportexport: popravlja CAN-2003-0420 zbog kojeg bi prijavljeni korisnik potencijalno mogao vidjeti ime i lozinku računa putem kojeg je pokrenut alat dsimportexport

Sigurnosno ažuriranje 2003-06-09 (verzija 2.0)

• AFP: popravlja CAN-2003-0379. Kada Apple File Service (AFP Server) poslužitelja Mac OS X Server poslužuje datoteke na UFS ili iznova podijeljenoj NFS jedinici, postoji potencijalna slaba točka koja može dopustiti udaljenom korisniku da prebriše proizvoljne datoteke.

• Directory Services: popravlja CAN-2003-0378.U prijava putem protokola Kerberos na LDAPv3 poslužitelju lozinka računa može biti poslana u formatu cleartext kada se prozor za prijavu vrati na pokušaj jednostavnog povezivanja na poslužitelju.

Safari 1.0 Beta 2 (v74)

• Popravlja CAN-2003-0355 zbog kojeg Safari ne provjerava valjanost polja Common Name u certifikatima X.509. Detalji su dostupni na web-mjestu (http://www.securityfocus.com/archive/1/320707).

• Najnovija verzija preglednika Safari dostupna je na web-mjestu (http://www.apple.com/safari/).

Mac OS X 10.2.6

• IPSec: popravlja CAN-2003-0242, zbog kojeg dolazna sigurnosna pravila koja se podudaraju prema terminalu ne bi odgovarala točnom prometu.

Mac OS X 10.2.5

• Apache 2.0: popravlja CAN-2003-0132, slabu točku zbog koje dolazi do prekid usluge u verzijama od 2.0 do 2.0.44. softvera Apache. Apache 2.0 distribuira se samo uz poslužitelj Mac OS X Server i prema zadanim postavkama je onemogućen.

• Directory Services: popravlja CAN-2003-0171, eskalacija ovlasti i DoS napad na DirectoryServices. Mac OS X i Mac OS X Server sadržavaju DirectoryServices kao podsustav informacijskih usluga. Pokreće se pri početnom pokretanju sustava, korijenski postavlja i instalira prema zadanim postavkama. Lokalni napadač mogao bi modificirati varijablu okruženja koja bi omogućila izvršavanje proizvoljnih naredbi kao korijenskih. Zahvaljujemo Daveu G. (@stake, Inc.) na otkrivanju ove slabe točke.

• Dijeljenje datoteka / servis: popravlja CAN-2003-0198 zbog kojeg se moglo otkriti sadržaj mape DropBox namijenjene samo za pisanje. Kada je omogućeno dijeljenje osobnih datoteka u sustavu Mac OS X ili Appleov servis za dijeljenje datoteka na poslužitelju Mac OS X Server, mapa „DropBox“ prema zadanim je postavkama dostupna kako bi se korisnicima omogućila pohrana datoteka. Ovim ažuriranjem gosti više neće moći mijenjati dopuštenja za mapu „DropBox“.

• OpenSSL: popravlja CAN-2003-0131 Klima-Pokorny-Rosa, napad na nadopunjavanje za PKCS #1 v1.5. Zakrpa tima softvera OpenSSL koja se odnosi na tu slabu točku primijenjena je na sustav Mac OS X i Mac OS X Server.

• Samba: popravlja CAN-2003-0201 zbog kojeg se je anonimni korisnik mogao steći daljinski pristup korijenskom kodu zbog prekoračenja međuspremnika. Ugrađena značajka dijeljenja datoteka u sustavu Windows temelji se na tehnologiji otvorenog koda pod nazivom Samba i prema zadanim je postavkama isključena u sustavu Mac OS X.

• sendmail: popravlja CAN-2003-0161 zbog kojeg kod za raščlambu adrese za sendmail ne provjerava duljinu e-mail adrese kako treba. Samo se zakrpa tima za sendmail primjenjuje na verziju sendmaila koja se trenutno isporučuje u sustavima Mac OS X i Mac OS X Server.

QuickTime 6.1 za Windows

• popravlja CAN-2003-0168, potencijalnu slabu točku u programu QuickTime Player za Windows koja bi udaljenom napadaču mogla omogućiti kompromitiranje ciljnog sustava. Iskorištavanje te slabe točke moguće je samo ako napadač može uvjeriti korisnika da učita posebno izrađen URL za QuickTime. Ako to uspije, moguće je proizvoljno izvršavanje koda korištenjem ovlasti tog QuickTime korisnika.

Sigurnosno ažuriranje 2003-03-24

• Samba: popravlja CAN-2003-0085 i CAN-2003-0086 što bi moglo omogućiti neovlašteni daljinski pristup glavnom sustavu. Ugrađena značajka dijeljenja datoteka u sustavu Windows temelji se na tehnologiji otvorenog koda pod nazivom Samba i prema zadanim je postavkama isključena u sustavu Mac OS X. Ovo ažuriranje primjenjuje samo sigurnosne popravke na verziju 2.2.3 programa Samba koja se trenutno isporučuje u sustavu Mac OS X 10.2.4, ostale verzije programa Samba verzija ostaju nepromijenjene.

• OpenSSL: popravlja CAN-2003-0147 radi rješavanja problema zbog kojeg privatni ključevi za RSA mogu biti ugroženi prilikom komunikacije preko LAN veze, Internet2/Abilene veze i međuprocesne komunikacije na lokalnom uređaju.

Sigurnosno ažuriranje 2003-03-03

• Sendmail: popravlja CAN-2002-1337 zbog kojeg bi udaljeni napadač mogao ostvariti veće ovlasti na zahvaćenim računalima. Sendmail prema zadanim postavkama u sustavu Mac OS X nije omogućen, tako da su napadu podložni samo oni sustavi u kojima je sendmail izravno omogućen. Međutim, preporučujemo svim korisnicima sustava Mac OS X da primjene ovo ažuriranje. Rješenje problema za sendmail dostupno je u Sigurnosnom ažuriranju 2003-03-03.

• OpenSSL: popravlja CAN-2003-0078 zbog kojeg je teoretski moguće da treća strana izdvoji izvorni otvoreni tekst šifriranih poruka poslanih preko mreže. Sigurnosno ažuriranje 2003-03-03 primjenjuje ovaj popravak na Mac OS X 10.2.4; korisnici ranijih verzija sustava Mac OS X mogu preuzeti najnoviju openssl verziju izravno s web stranice OpenSSL: http://www.openssl.org/

Mac OS X 10.2.4 (klijent)

• Sendmail: popravlja CAN-2002-0906 koji se odnosi na prelijevanje međuspremnika u verzijama programa Sendmail starijim od verzije 8.12.5 (kada je program konfiguriran za uporabu prilagođene DNS mape za upite TXT zapisa) moglo je dopustiti napad prekidom usluge i potencijalno proizvoljno izvršenje koda. Mac OS X 10.2.4 sadržava Sendmail 8.12.6 s primijenjenom zakrpom SMRSH, kojom se rješava i CAN-2002-1165.

• AFP: popravlja CAN-2003-0049: „dozvole za prijavu u AFP za administratora sustava“. Pruža opciju po kojoj se administratoru sustava može ili ne mora dopustiti da se prijavi kao korisnik uz potvrdu autentičnosti vlastitom administratorskom lozinkom. Prije su se administratori uvijek mogli prijaviti kao korisnici uz potvrdu autentičnosti vlastitom administratorskom lozinkom.

• Klasično: popravlja CAN-2003-0088, zbog kojeg napadač može promijeniti varijablu okruženja da izradi proizvoljne datoteke ili prebriše postojeće datoteke, što može dovesti do stjecanja većih ovlasti. Zahvaljujemo Daveu G. (@stake, Inc.) na otkrivanju ovog problema.

• Samba: prethodna izdanja sustava Mac OS X ne sadrže slabu točku koju opisuje CAN-2002-1318, a odnosi se na provjeru duljine u izmjenama šifriranih lozinku u programu Samba. Mac OS X trenutno koristi Directory Services za provjeru autentičnosti i ne poziva funkciju programa Samba na koju se ta slaba točka odnosi. Međutim, kako bi se spriječilo potencijalno buduće iskorištavanje te slabe točke putem ove funkcije, primijenjena je zakrpa iz verzije 2.2.7 programa Samba iako verzija samog programa Samba nije promijenjena u ovom izdanju ažuriranja. Dodatne informacije dostupne su na web-mjestu: http://samba.org/

Mac OS X 10.2.4 Server

• QuickTime Streaming Server: popravlja CAN-2003-0050 koji se odnosi na izvršavanje proizvoljnih naredbi za QTSS. Administracijski poslužitelj za QuickTime Streaming oslanja se na aplikaciju parse_xml.cgi za potvrdu autentičnosti i pružanje sučelja za korisnike. Ta CGI značajka mogla bi proslijediti nepotvrđeni unos koji bi mogao omogućiti udaljenom napadaču izvršavanje proizvoljnog koda na poslužitelju i stjecanje korijenskih ovlasti. Zahvaljujemo Daveu G. (@stake, Inc.) na otkrivanju ove slabe točke.

• QuickTime Streaming Server: popravlja CAN-2003-0051 koji se odnosi na otkrivanje fizičkih putanja za QTSS. Administracijski poslužitelj za QuickTime Streaming oslanja se na aplikaciju parse_xml.cgi za potvrdu autentičnosti i pružanje sučelja za korisnike. Ta CGI značajka mogla bi se koristiti za otkrivanje fizičke putanje na kojoj su instalirani administracijski poslužitelji za Darwin/Quicktime. Zahvaljujemo timu @stake, Inc. na otkrivanju ove slabe točke.

• QuickTime Streaming Server: popravlja CAN-2003-0052 koji se odnosi na popise direktorija za QTSS. Administracijski poslužitelj za QuickTime Streaming oslanja se na aplikaciju parse_xml.cgi za potvrdu autentičnosti i pružanje sučelja za korisnike. Ta CGI značajka mogla bi se koristiti za otkrivanje proizvoljnih popisa direktorija zbog nedostatka provjere valjanosti korisničkog unosa unutar aplikacije. Zahvaljujemo Ollieju Whitehousu (@stake, Inc.) na otkrivanju ove slabe točke.

• QuickTime Streaming Server: popravlja CAN-2003-0053 koji se odnosi na vjerodajnice za prijavu za QTSS. Administracijski poslužitelj za QuickTime Streaming oslanja se na aplikaciju parse_xml.cgi za potvrdu autentičnosti i pružanje sučelja za korisnike. Slaba točka u rukovanju porukama o pogreškama iz ove CGI značajke mogla bi se upotrijebiti u napadu na skriptiranje više web-mjesta radi stjecanja valjanih vjerodajnica za prijavu. Zahvaljujemo Ollieju Whitehousu (@stake, Inc.) na otkrivanju ove slabe točke.

• QuickTime Streaming Server: popravlja CAN-2003-0054 koji se odnosi na proizvoljno izvršavanje naredbi prilikom pregleda zapisnika poslužitelja QTSS. Ako neovlašteni korisnik poslužitelja QuickTime Streaming Server podnese zahtjev terminalu za streaming, zahtjev se zapisuje u datoteku zapisnika. Moguće je izraditi zahtjev tako da se omogući izvršavanje proizvoljnog koda kada administrator sustava pregledava zapise putem preglednika. Zahvaljujemo Ollieju Whitehousu (@stake, Inc.) na otkrivanju ove slabe točke.

• QuickTime Streaming Server: popravlja CAN-2003-0055 koji se odnosi na prekoračenje međuspremnika u aplikaciji MP3 Broadcasting. Postoji prekoračenje međuspremnika u samostalnoj aplikaciji MP3Broadcaster. MP3 datoteka čiji je naziv datoteke veći od 256 bajtova uzrokovat će prekoračenje međuspremnika. Lokalni/ftp korisnici to bi smogli iskoristiti za stjecanje većih ovlasti. Zahvaljujemo Ollieju Whitehousu (@stake, Inc.) na otkrivanju ove slabe točke.

• Sendmail: popravlja CAN-2002-0906 koji se odnosi na prelijevanje međuspremnika u verzijama programa Sendmail starijim od verzije 8.12.5 (kada je program konfiguriran za uporabu prilagođene DNS mape za upite TXT zapisa) moglo je dopustiti napad prekidom usluge i potencijalno proizvoljno izvršenje koda. Mac OS X 10.2.4 sadržava Sendmail 8.12.6 s primijenjenom zakrpom SMRSH, kojom se rješava i CAN-2002-1165.

• AFP: popravlja CAN-2003-0049: „dozvole za prijavu u AFP za administratora sustava“. Pruža opciju po kojoj se administratoru sustava može ili ne mora dopustiti da se prijavi kao korisnik uz potvrdu autentičnosti vlastitom administratorskom lozinkom. Prije su se administratori uvijek mogli prijaviti kao korisnici uz potvrdu autentičnosti vlastitom administratorskom lozinkom.

• Klasično: popravlja CAN-2003-0088, zbog kojeg napadač može promijeniti varijablu okruženja da izradi proizvoljne datoteke ili prebriše postojeće datoteke, što može dovesti do stjecanja većih ovlasti. Zahvaljujemo Daveu G. (@stake, Inc.) na otkrivanju ovog problema.

• Samba: prethodna izdanja sustava Mac OS X ne sadrže slabu točku koju opisuje CAN-2002-1318, a odnosi se na provjeru duljine u izmjenama šifriranih lozinku u programu Samba. Mac OS X trenutno koristi Directory Services za provjeru autentičnosti i ne poziva funkciju programa Samba na koju se ta slaba točka odnosi. Međutim, kako bi se spriječilo potencijalno buduće iskorištavanje te slabe točke putem ove funkcije, primijenjena je zakrpa iz verzije 2.2.7 programa Samba iako verzija samog programa Samba nije promijenjena u ovom izdanju ažuriranja. Dodatne informacije dostupne su na web-mjestu: http://samba.org/

• Integrirana provjera autentičnosti za WebDAV Digest: Apache modul mod_digest_apple dodan je radi lakšeg omogućavanja provjere autentičnosti za postojeće WebDAV područje. Time se eliminira potreba za čuvanjem zasebnih sažetaka koji sadrže popise ovlaštenih korisnika, lozinki i područja. mod_digest_apple omogućuje provjeru autentičnosti korisnika u koordinaciji s direktorijem Open Directory. Za više detalja otvorite Help Viewer nakon instalacije sustava Mac OS X Server 10.2.4, odaberite Mac OS X Server Help među ponuđenim opcijama i potražite članak „Novo: omogućavanje integrirane provjere autentičnosti za WebDAV Digest“.

Mac OS X 10.2.3

• fetchmail: popravlja CAN-2002-1174 i CAN-2002-1175 zbog kojeg bi moglo doći do mogućeg odbijanja usluge pri korištenju fetchmail alata naredbenog retka. fetchmail je ažuriran na verziju 6.1.2+IMAP-GSS+SSL+INET6

• CUPS: pruža popravke za sljedeće potencijalne probleme koji se mogu daljinski iskoristiti kada je omogućeno dijeljenje pisača. Dijeljenje pisača prema zadanim postavkama nije omogućeno u sustavima Mac OS X i Mac OS X Server.

• CAN-2002-1383: Višestruko prelijevanje cijelog broja

• CAN-2002-1366: Uvjet nadvladavanja za /etc/cups/certs/

• CAN-2002-1367: Dodavanje pisača uz UDP pakete

• CAN-2002-1368: Memcpy() pozivi negativne duljine

• CAN-2002-1384: Prelijevanje cijelih brojeva u pdftops filtru i Xpdf-u

• CAN-2002-1369: Nesigurno pozivanje funkcije Strncat za jobs.c

• CAN-2002-1370: Greška u dizajnu korijenskog certifikata

• CAN-2002-1371: Slike nulte širine u filters/image-gif.c

• CAN-2002-1372: Neovlašteno objavljivanje opisnih resursa datoteke

Sigurnosno ažuriranje 2002-11-21

BIND: ažurirano na verziju 8.3.4 radi popravljanja potencijalnih slabih točaka na poslužitelju domene i medijateci klijenata konzorcija Internet Software Consortiuma (ISC) koja se isporučuje uz Mac OS X i Mac OS X Server. BIND prema zadanim postavkama nije omogućen u sustavima Mac OS X i Mac OS X Server.

CVE IDs: CAN-2002-1219, CAN-2002-1220, CAN-2002-1221, CAN-2002-0029

Za više informacija pogledajte:http://www.cert.org/advisories/CA-2002-31.htmlhttp://www.kb.cert.org/vuls/id/457875

Mac OS X 10.2.2Ovo se ažuriranje bavi sljedećim potencijalnim sigurnosnim problemima:

• CAN-2002-1266: Povećanje ovlasti lokalnog korisnika putem slikovne datoteke diska Lokalni korisnik mogao bi steći veće ovlasti u sustavu otvaranjem slikovne datoteke diska koja je izrađena na drugom računalu s administratorskim ovlastima.

• CAN-2002-0830: FreeBSD-SA-02:36.nfs, potencijalna slaba točka u sustavu Network File System (NFS) zbog koje bi udaljeni napadač mogao prouzročiti prekid usluge.

• IP Firewall: pod određenim okolnostima ipfw vatrozid ugrađen u Mac OS X može blokirati pakete koji su izričito dopušteni pravilima vatrozida. Ta slaba točka ne zadovoljava formalne kriterije za utvrđivanje sigurnosnih slabih točaka i ne dobiva CVE ID.

• CAN-2002-1267: CUPS Moguće je daljinski pristup web-administraciji ispisa Zlonamjerni korisnik mogao bi pristupiti terminalu za pokretanje uslužnog programa CUPS za web-administraciju ispisa. To bi mu omogućilo da prouzroči prekid rada pisača.

• CAN-2002-1268: Povećanje korisničkih ovlasti pristupom sustavu koji ima ISO 9600 CD Korisnici bi mogli steći veće ovlasti kada se prijave u sustav koji ima ISO 9600 CD dostupan u datotečnom sustavu.

• CAN-2002-1269: Aplikacija NetInfo Manager mogla bi dopustiti pristup filesystem sustavu Sigurnosna slaba točka u aplikaciji NetInfo Manager mogla bi zlonamjernom korisniku dopustiti navigaciju datotečnim sustavom.

• CAN-2002-1270: Pozivanje sustava map_fd() Mach moglo bi dopustiti čitanje datoteke Pozivanje sustava map_fd() Mach moglo bi pozivatelju dopustiti čitanje datoteke za koju imaju odobren pristup samo za pisanje.

• CAN-2002-1265: TCP problem u sustavu RPC Implementacija libc-a temeljena na RPC-u možda neće ispravno čitati podatke iz TCP veza. Kao rezultat toga, udaljeni napadač može uskratiti uslugu demonima sustava. Za dodatne informacije pogledajte CERT VU#266817 na web-mjestu: http://www.kb.cert.org/vuls/id/266817

• CAN-2002-0839, CAN-2002-0840, CAN-2002-0843: Apache Apache je ažuriran na verziju 1.3.27 radi otklanjanja više problema.

Mac OS X Server 10.2.2

• Sadržava sve popravke sigurnosnih problema u sustavu Mac OS X 10.2.2 te CAN-2002-0661, CAN-2002-0654, CAN-2002-0654: Apache 2 Apache 2 isporučuje se uz Mac OS X Server, ali prema zadanim postavkama nije omogućen. Verzija je ažurirana na Apache 2.0.42 radi otklanjanja više problema.

Sigurnosno ažuriranje za StuffIt Expander 2002-10-15

• Stuffit Expander: CAN-2002-0370. Ovim se ažuriranjem rješava potencijalna sigurnosna slaba točka u verziji 6.5.2 i novijim verzijama programa Stuffit Expander. Za dodatne informacije pogledajte: http://www.kb.cert.org/vuls/id/383779 .

Sigurnosno ažuriranje 2002-09-20

• Terminal: Ovim se ažuriranjem popravlja potencijalna slaba točka na verziji 1.3 (v81) terminala koja se isporučuje uz Mac OS X 10.2, a mogla bi omogućiti napadaču daljinsko izvršavanje proizvoljnih naredbi u korisničkom sustavu. Ovim sigurnosnim ažuriranjem terminal se ažurira na verziju 1.3.1 (v82).

Sigurnosno ažuriranje 2002-08-23

• Ovo sigurnosno ažuriranje namijenjeno je za Mac OS X 10.2 i primjenjuje popravke sadržane u Sigurnosnom ažuriranju 2002-08-02 za Mac OS X 10.1.5.

Sigurnosno ažuriranje 2002-08-20

• Secure Transport: Ovo ažuriranje poboljšava provjeru certifikata u sustavu OS X i sada je u potpunosti usklađeno s certifikatom infrastrukture javnih ključeva Internet X.509 i CRL profilom (RFC2459).

Sigurnosno ažuriranje 2002-08-02

Ovo ažuriranje rješava sljedeće sigurnosne slabe točke, koji utječu na verzije Mac OS X Servera koje se trenutačno isporučuju. Te su usluge prema zadanim postavkama isključene u klijentu za Mac OS X klijentu, no ako se uključe, klijent postaje izložen slaboj točki. Korisnici klijenta sustava Mac OS X također bi trebali instalirati to ažuriranje.

• OpenSSL: popravlja sigurnosne slabe točke CAN-2002-0656, CAN-2002-0657, CAN-2002-0655 i CAN-2002-0659. Za detalje pogledajte: http://www.cert.org/advisories/CA-2002-23.html

• mod_ssl: popravlja CAN-2002-0653, off-by-one prekoračenje međuspremnika u mod_ssl Apache modulu. Za detalje pogledajte: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0653

• Sun RPC: popravlja CAN-2002-039, prekoračenje međuspremnika u Sun RPC XDR dekoderu. Za detalje pogledajte: http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20823

Sigurnosno ažuriranje 7-18-02 (2002-07-18)

• Ažuriranje softvera: Sadrži klijent 1.4.7 za ažuriranje softvera kojim se dodaje provjera kriptografskog potpisa alatu naredbenog retka softwareupdate. To pruža dodatne načine za izvođenje ažuriranja softvera na siguran način, zajedno s postojećom mogućnošću ažuriranja softvera u postavkama sustava.

Sigurnosno ažuriranje 7-12-02 (2002-07-12)

• Ažuriranje softvera: popravlja CVE ID CAN-2002-0676 radi povećanja sigurnosti postupka ažuriranja softvera za sustave s klijentom ažuriranja softvera 1.4.5 ili starijim. Paketi uvedeni putem mehanizma za ažuriranje softvera sada su kriptografski potpisani, a novi klijent za ažuriranje softvera 1.4.6 provjerava važeći potpis prije instaliranja novih paketa.

Sigurnosno ažuriranje iz srpnja 2002. (2002-07)

• Apache: popravlja CVE ID CAN-2002-0392 koji omogućuje udaljenim napadačima pokretanje prekida usluge i potencijalno izvršavanje proizvoljnog koda. Za detalje pogledajte: http://www.cert.org/advisories/CA-2002-17.html

• OpenSSH: popravlja dvije slabe točke, CAN-2002-0639 i CAN-2002-0640, koji udaljenom uljezu omogućuju izvršavanje proizvoljnog koda na lokalnom sustavu. Za detalje pogledajte: http://www.cert.org/advisories/CA-2002-18.html

Mac OS X 10.1.5

• sudo:: popravlja CAN-2002-0184, zbog kojeg prelijevanje međuspremnika u sudo može dopustiti lokalnim korisnicima da steknu korijenske ovlasti putem posebnih znakova u argumentu -p (prompt).

• sendmail:: popravlja CVE-2001-0653, pogrešku provjere valjanosti unosa u funkciji otklanjanja pogrešaka programa Sendmail koja bi mogla dovesti do kompromitiranja sustava.

Sigurnosno ažuriranje za Internet Explorer 5.1 (2002-04)

• Otklanja slabu točku koja bi mogla omogućiti napadaču da preuzme vaše računalo. Microsoft je u međuvremenu obustavio podršku i razvoj za Internet Explorer za Mac, pa razmislite o prelasku na Safari.

Mac OS X 10.1.4

• TCP/IP broadcast: odnosi se na CAN-2002-0381 zbog kojeg se TCP/IP veze sada provjeravaju i blokiraju broadcast ili multicast odredišne IP adrese. Za više detalja pogledajte: http://www.FreeBSD.org/cgi/query-pr.cgi?pr=35022

Sigurnosno ažuriranje iz travnja 2002. (2002-04)

• Apache: ažuriran na verziju 1.3.23 kako bi se ugradio popravak za mod_ssl security.

• Apache Mod_SSL: ažuriran na verziju 2.8.7-1.3.23 kako bi se otklonila slaba točka prelijevanja međuspremnika CAN-2002-0082, koja se bi se mogla iskoristiti za izvršavanje proizvoljnog koda. Za detalje pogledajte: http://archives.neohapsis.com/archives/bugtraq/2002-02/0313.html

• groff: ažuriran na verziju 1.17.2 kako bi se otklonila slaba točka CAN-2002-0003, zbog koje je napadač daljinski mogao steći lp ovlasti. Za detalje pogledajte: http://online.securityfocus.com/advisories/3859

• mail_cmds: ažurirano kako bi se otklonila slaba točka zbog koje se korisnici mogu dodavati u e-mail grupe

• OpenSSH: ažuriran na verziju 3.1p1 kako bis e otklonila slaba točka CAN-2002-0083, zbog koje bi napadač mogao manipulirati sadržajem memorije. Za detalje pogledajte: http://www.pine.nl/advisories/pine-cert-20020301.html

• PHP: ažuriran na verziju 4.1.2 kako bise otklonila slaba točka CAN-2002-0081, koja uljezu omogućuje izvršavanje proizvoljnog koda uz ovlasti za web-poslužitelj. Za detalje pogledajte: http://www.cert.org/advisories/CA-2002-05.html

• rsync: ažuriran na verziju 2.5.2 kako bi se otklonila slaba točka CAN-2002-0048 zbog koje bi moglo doći do oštećenja skupine i mogućeg izvršavanja proizvoljnog koda u svojstvu korijenskog korisnika. Za detalje pogledajte: ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:10.rsync.asc

• sudo: ažurirano na verziju 1.6.5p2 kako bi se otklonila slaba točka CAN-2002-0043, zbog koje je lokalni korisnik mogao steći ovlasti superkorisnika. Za detalje pogledajte: ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:06.sudo.asc

Mac OS X 10.1.3

• openssh: ažurirano na verziju 3.0.2p1 kako bi se otklonilo više slabih točaka iz prethodne verzije. Za detalje pogledajte: http://www.openssh.com/security.html

• WebDAV: proširen je mod provjere autentičnosti za Digest kako bi mogao funkcionirati na dodatnim poslužiteljima

Sigurnosno ažuriranje za Mac OS X 10.1 10-19-01 (2001-10-19)

• Otklanja slabe točke opisane u člancima http://www.stepwise.com/Articles/Admin/2001-10-15.01.html, zbog kojih bi aplikacija mogla steći ovlasti korijenskog pristupa.

Internet Explorer 5.1.1

• IE 5.1.1: otklanja problem sa standardom IE 5.1 koji dolazi uz Mac OS X v10.1, zbog kojeg Internet Explorer automatski pokreće preuzeti softver, što može dovesti do gubitka podataka i drugih štetnih učinaka. Više informacija dostupno je u tehničkom dokumentu 106503, „Mac OS X 10.1: Internet Explorer automatski pokreće preuzeti softver“.

Mac OS X 10.1

• crontab: otklanja slabe točke opisane u dokumentima FreeBSD-SA-01:09 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:09.crontab.v1.1.asc) zbog kojih bi lokalni korisnici mogli učitati proizvoljne lokalne datoteke koje su u skladu s valjanom sintaksom crontab datoteke.

• fetchmail

• Otklanja problem s prelijevanjem međuspremnika opisan u dokumentima FreeBSD-SA-01:43 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:43.fetchmail.asc)

• Otklanja problem s velikim zaglavljem opisan u dokumentu BugTraq MDKSA-2001:063: fetchmail (http://www.securityfocus.com/advisories/3426)

• Otklanja slabu točku u prebrisavanju memorije koja je opisana u dokumentu BugTraq ESA-20010816-01: fetchmail-ssl (http://www.securityfocus.com/advisories/3502)

• ipfw: otklanja slabu točku opisanu u dokumentu FreeBSD-SA-01:08.ipfw (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:08.ipfw.asc) zbog koje se udaljeni napad mogao konstruirati s TCP paketima s postavljenom ECE oznakom.

• java: otklanja slabu točku opisanu u dokumentu http://sunsolve.Sun.COM/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/216&type=0&nav=sec.sbl&ttl=sec.sbl zbog koje bi nepouzdani aplet mogao nadzirati zahtjeve i odgovore s HTTP proxy poslužitelja.

• open() syscall: otklanja slabu točku opisanu u dokumentu FreeBSD-SA-97:05.open (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/old/FreeBSD-SA-97:05.open.asc) zbog koje bi drugi korisnik u sustavu mogao izvršiti neovlaštene I/O upute

• OpenSSL: uključena je verzija 0.9.6b koja sadržava niz popravaka problema iz prethodne verzije. Za detalje pogledajte: http://www.openssl.org/.

• procmail: otklonjena je slaba točka opisana u dokumentu Red Hat RHSA-2001:093-03 (http://www.redhat.com/support/errata/RHSA-2001-093.html), zbog koje upravljanje signalima nije funkcioniralo kako treba.

• rwhod: otklonjena je slaba točka opisana u dokumentu FreeBSD-SA-01:29.rwhod (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:29.rwhod.asc), zbog koje bi udaljeni korisnici mogli prouzročiti rušenje rwhod demona i prekid usluge za klijente.

• setlocale(): prelijevanje niza: otklonjena je slaba točka opisana u dokumentu FreeBSD-SA-97:01.setlocale (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/old/FreeBSD-SA-97:01.setlocale) zbog koje pozivanje setlocale() sadrži niz potencijalnih točaka koje se mogu iskoristiti kroz prekoračenje niza tijekom proširenja varijable okruženja

• sort: otklanja slabu točku opisanu u dokumentu CERT Vulnerability Note VU#417216 (http://www.kb.cert.org/vuls/id/417216) zbog koje bi uljez mogao blokirati rad programa za administraciju sustava rušenjem uslužnog programa sortiranja.

• system clipboard / J2SE: otklanja sigurnosni problem koji je dopuštao neovlaštenim apletima pristup međuspremniku sustava.

• tcpdump: otklanja slabu točku opisanu u dokumentu FreeBSD-SA-01:48 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:48.tcpdump.asc) zbog koje bi udaljeni korisnici mogli prouzročiti rušenje lokalnog tcpdump procesa i izvršenje proizvoljnog koda.

• TCP Initial Sequence Numbers: otklanja slabu točku opisanu u dokumentu FreeBSD-SA-00:52 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-00:52.tcp-iss.asc) zbog koje algoritam za generiranje broja koji će sustav koristiti za sljedeću dolaznu TCP vezu nije bio dovoljno nasumičan

• tcsh '>>' operator: otklanja slabu točku opisanu u dokumentu FreeBSD-SA-00:76 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-00:76.tcsh-csh.asc) zbog koje bi lokalni korisnici bez ovlasti mogli uzrokovati brisanje proizvoljne datoteke kada druga osoba pozove operator '<<' u tcsh (npr. iz shell skripte)

• telnetd: otklanja slabu točku opisanu u dokumentu FreeBSD-SA-01:49 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:49.telnetd.v1.1.asc) zbog koje bi udaljeni korisnici mogli uzrokovati izvršenje proizvoljnog koda dok korisnik pokreće telnetd.

• timed: otklanja slabu točku opisanu u dokumentu FreeBSD-SA-01:28 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:28.timed.asc), zbog koje bi udaljeni korisnici mogli prouzročiti rušenje timed demona i prekid usluge za klijente.

Mac OS X Server 10.1

• MySQL 3.23.42: sadržava niz popravaka za probleme iz prethodne verzije. Za detalje pogledajte odjeljak 3.23.42 na web-mjestu za MySQL (http://www.mysql.com/downloads/mysql-3.23.html).

• Tomcat 3.2.3: sadržava niz popravaka za probleme iz prethodne verzije. Za detalje pogledajte web-mjesto za Tomcat (http://jakarta.apache.org/tomcat/).

• Apache: otklanja slabu točku povezanu s datotekom .DS_Store koja je opisana u dokumentu http://securityfocus.com/bid/3324

• Apache: otklanja potencijalnu slabu točku zbog koje bi .htaccess datoteke mogle biti vidljive web-preglednicima ako se izrade na HFS+ modulima. Datotečni direktorij http.conf izmijenjen je tako da web-preglednicima blokira vidljivost svih datoteka čiji nazivi počinju s .ht, bez obzira na velika i mala slova.

Ažuriranje dijeljenja putem weba 1.0 za Mac OS X

• Apache 1.3.19: otklanja sigurnosne probleme s korištenjem web-mjesta masovnog virtualnog hosting modula mod_vhost_alias ili mod_rewrite.

• mod_hfs_apple: otklanja probleme s neosjetljivošću velikih i malih slova u programu Apache na Mac OS Extended (HFS+) modulima.

• OpenSSH 2.9p2: otklanja slabu točku koja se odnosi na SSH1, a opisana je u dokumentu http://www.openwall.com/advisories/OW-003-ssh-traffic-analysis.txt.

• sudo: otklanja problem s prelijevanjem međuspremnika opisan u dokumentima FreeBSD-SA-01:38 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:38.sudo.asc)

Ažuriranje za Mac OS X 10.0.4 Server

• Samba 2.0.9: otklanja slabu točku u makro naredbama opisanu u dokumentu us1.samba.org/samba/whatsnew/macroexploit.html

• sudo: otklanja problem s prelijevanjem međuspremnika opisan u dokumentima FreeBSD-SA-01:38 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:38.sudo.asc)

Mac OS X 10.0.2

• FTP: otklanja slabu točku koja se odnosi na File Globbing, a opisana je u dokumentu CERT(R) Advisory CA-2001-07 (http://www.cert.org/advisories/CA-2001-07.html)

• NTP: otklanja problem s prelijevanjem međuspremnika opisan u dokumentima FreeBSD-SA-01:31 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:31.ntpd.asc)

Mac OS X 10.0.1

• OpenSSH-2.3.0p1: SSH usluge omogućene su putem okna Dijeljenje u postavkama sustava

Mac OS Runtime for Java (MRJ) 2.2.5

• MRJ 2.2.5: otklanja sigurnosni problem koji je dopuštao neovlaštenim apletima pristup međuspremniku sustava.