Aktualizácie zabezpečenia pre produkty Apple (do augusta 2003)
V tomto dokumente sú opísané aktualizácie zabezpečenia pre produkty Apple. Poznámka: Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania.
Dôležité: V tomto dokumente sa opisujú len aktualizácie a vydania z augusta 2003 (2003-08) a staršie, ako napríklad Mac OS X 10.1, 10.2, 10.2.6 a aktualizácia zabezpečenia 2003-08-14. Informácie o novších aktualizáciách zabezpečenia nájdete v nasledujúcich dokumentoch:
Aktualizácie zabezpečenia Apple (z 25. januára 2005 a novšie)
Aktualizácie zabezpečenia Apple (od 3. októbra 2003 do 11. januára 2005)
Ako získať systém Mac OS X
Informácie o získaní systému Mac OS X nájdete na webovej stránke Mac OS X (http://www.apple.com/macosx/).
Informácie o získaní systému Mac OS X Server nájdete na webovej stránke Mac OS X Server (http://www.apple.com/macosx/server/).
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v technickej dokumentácii č. 25314, „How To Use The Apple Product Security PGP Key“ (Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple).
Aktualizácie softvéru sú dostupné prostredníctvom nasledujúcich kanálov:
Nastavenia funkcie Aktualizácie softvéru
Súbory na stiahnutie od spoločnosti Apple (http://www.apple.com/swupdates/)
Aktualizácie zabezpečenia: z augusta 2003 (2003-08) a staršie
Aktualizácie zabezpečenia sú uvedené nižšie podľa vydania softvéru, pre ktorý boli prvýkrát dostupné. Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE (http://cve.mitre.org/cve/).
Informácie o novších aktualizáciách zabezpečenia nájdete v technickej dokumentácii č. 61798, „Apple Security Updates“ (Aktualizácie zabezpečenia Apple).
Aktualizácia zabezpečenia 2003-08-14
fb_realpath(): Oprava problému CAN-2003-0466, potenciálneho nedostatočne zabezpečeného miesta vo funkcii fb_realpath(), konkrétne v projektoch FTPServer a Libc, ktoré môže lokálnemu alebo vzdialenému používateľovi umožniť získať neoprávnený prístup k oprávneniam používateľa root v systéme.
Aktualizácia zabezpečenia 2003-07-23
Oprava problému CAN-2003-0601 na zlepšenie zabezpečenia systému priradením „zakázaného“ hesla novému účtu vytvorenému workgroup managerom, kým tento účet nebude prvýkrát uložený. Tým sa zabezpečí, že k novému účtu nebude mať prístup neoprávnená osoba.
Aktualizácia zabezpečenia 2003-07-14
Screen Effects Password: Oprava problému CAN-2003-0518, potenciálneho nedostatočne zabezpečeného miesta, keď sa po prebudení z funkcie efektov obrazovky vyžaduje heslo, čo by mohlo neoprávnenému používateľovi umožniť prístup k ploche prihláseného používateľa. Poďakovanie za nahlásenie tohto problému si zaslúži Denis Ahrens.
Aktualizácia zabezpečenia 2003-06-12 (iba Mac OS X Server)
Apache 2.0: Oprava problému CAN-2003-0245 aktualizáciou systému Apache 2.0.45 na verziu 2.0.46, ktorá rieši bezpečnostnú dieru v module mod_dav, ktorú bolo možné zneužiť na diaľku a spôsobiť zlyhanie procesu webového servera Apache Web. Systému Apache 1.3 sa tento problém netýka a ide o primárny webový server pre Mac OS X Server. Systém Apache 2.0 je nainštalovaný spolu so systémom Mac OS X Server, ale je predvolene vypnutý.
dsimportexport: Oprava problému CAN-2003-0420, v dôsledku ktorého si mohol prihlásený používateľ potenciálne zobraziť názov a heslo účtu, v rámci ktorého je spustený nástroj dsimportexport.
Aktualizácia zabezpečenia 2003-06-09 (verzia 2.0)
AFP: Oprava problému CAN-2003-0379. Keď súborová služba Apple File Service (AFP Server) v systéme Mac OS X Server poskytuje súbory na zväzku UFS alebo zdieľanom zväzku NFS, existuje potenciálne nedostatočne zabezpečené miesto, ktoré môže vzdialenému používateľovi umožniť prepísať ľubovoľné súbory.
Directory Services: Oprava problému CAN-2003-0378. Pri prihlasovaní prostredníctvom protokolu Kerberos na serveri LDAPv3 môže byť heslo účtu odoslané vo formáte obyčajného textu, keď sa prihlasovacie okno znova pokúsi o jednoduché prepojenie na server.
Safari 1.0 Beta 2 (v74)
Oprava problému CAN-2003-0355, v dôsledku ktorého prehliadač Safari neoveroval pole Bežný názov v certifikátoch X.509. Podrobnosti sú dostupné na stránke (http://www.securityfocus.com/archive/1/320707).
Najnovšia verzia prehliadača Safari je dostupná na stránke (http://www.apple.com/safari/).
Mac OS X 10.2.6
IPSec: Oprava problému CAN-2003-0242, v dôsledku ktorého prichádzajúce zásady zabezpečenia, ktoré sa zhodujú na základe portu, nezodpovedali správnej prevádzke.
Mac OS X 10.2.5
Apache 2.0: Oprava problému CAN-2003-0132, nedostatočne zabezpečeného miesta pri odmietnutí služby vo verziách Apache 2.0 až 2.0.44. Systém Apache 2.0 sa distribuuje len so systémom Mac OS X Server a nie je predvolene povolený.
Directory Services: Oprava problému CAN-2003-0171 so súčasťou DirectoryServices Privilege Escalation a útokmi DoS. DirectoryServices je súčasťou podsystému informačných služieb Mac OS X a Mac OS X Server. Spúšťa sa pri spustení, je setuid root a je predvolene nainštalovaná. Lokálny útočník môže zmeniť premennú prostredia, ktorá umožní vykonávanie ľubovoľných príkazov na úrovni root. Poďakovanie za odhalenie tohto nedostatočne zabezpečeného miesta si zaslúži Dave G. z tímu @stake, Inc.
File Sharing/Service: Oprava problému CAN-2003-0198, v dôsledku ktorého sa mohol odhaliť obsah priečinka DropBox určeného len na zápis. Po zapnutí zdieľania osobných súborov v systéme Mac OS X alebo súborovej služby Apple File Service v systéme Mac OS X Server je predvolene k dispozícii priečinok DropBox, ktorý umožňuje ľuďom ukladať súbory. Táto aktualizácia už neumožňuje hosťom meniť povolenia priečinka DropBox.
OpenSSL: Oprava problému CAN-2003-0131 s útokom Klima-Pokorny-Rosa na výplň PKCS #1 v1.5. Oprava od tímu OpenSSL, ktorá rieši toto nedostatočne zabezpečené miesto, sa vzťahuje na systémy Mac OS X a Mac OS X Server.
Samba: Oprava problému CAN-2003-0201, v dôsledku ktorého mohol anonymný používateľ získať vzdialený prístup používateľa root v dôsledku pretečenia vyrovnávacej pamäte. Integrované zdieľanie Windows súborov vychádza z open source technológie Samba a v systéme Mac OS X je predvolene vypnuté.
sendmail: Oprava problému CAN-2003-0161, v dôsledku ktorého kód pre analýzu adries v súčasti sendmail nedostatočne kontroluje dĺžku e-mailových adries. Na aktuálne dodávanú verziu súčasti sendmail v systémoch Mac OS X a Mac OS X Server sa aplikuje iba oprava od tímu sendmail.
QuickTime 6.1 for Windows
Oprava problému CAN-2003-0168, potenciálneho nedostatočne zabezpečeného miesta v apke QuickTime Player pre Windows, ktoré môže vzdialenému útočníkovi umožniť kompromitovať cieľový systém. Toto zneužitie je možné len vtedy, ak útočník dokáže presvedčiť používateľa, aby načítal špeciálne vytvorenú URL adresu apky QuickTime. Po úspešnom zneužití je možné spustiť ľubovoľný kód v rámci povolení používateľa apky QuickTime.
Aktualizácia zabezpečenia 2003-03-24
Samba: Oprava problémov CAN-2003-0085 a CAN-2003-0086, ktoré mohli umožniť neoprávnený vzdialený prístup k hostiteľskému systému. Integrované zdieľanie Windows súborov vychádza z open source technológie Samba a v systéme Mac OS X je predvolene vypnuté. Táto aktualizácia aplikuje opravy zabezpečenia len na aktuálne dodávanú verziu 2.2.3 súčasti Samba v systéme Mac OS X 10.2.4 a inak sa verzia súčasti Samba nemení.
OpenSSL: Oprava problému CAN-2003-0147, v dôsledku ktorého môže dôjsť ku kompromitácii súkromných kľúčov RSA počas komunikácie cez siete LAN, Internet2/Abilene a pri medziprocesovej komunikácii v lokálnom počítači.
Aktualizácia zabezpečenia 2003-03-03
Sendmail: Oprava problému CAN-2002-1337, v dôsledku ktorého mohol vzdialený útočník získať oprávnenia vyššie úrovne na dotknutých hostí. Súčasť sendmail nie je v systéme Mac OS X predvolene povolená, takže zraniteľné sú len tie systémy, ktoré majú súčasť sendmail vyslovene povolenú. Všetkým používateľom systému Mac OS X sa však odporúča, aby túto aktualizáciu aplikovali. Oprava súčasti sendmail je dostupná v aktualizácii zabezpečenia 2003-03-03.
OpenSSL: Oprava problému CAN-2003-0078, v dôsledku ktorého je teoreticky možné, že tretia strana získa pôvodný obyčajný text zašifrovaných správ odoslaných cez sieť. Aktualizácia zabezpečenia 2003-03-03 sa aplikuje na túto opravu pre systém Mac OS X 10.2.4. Používatelia starších verzií systému Mac OS X môžu získať najnovšiu verziu súčasti openssl priamo na webovej stránke OpenSSL: http://www.openssl.org/
Mac OS X 10.2.4 (klient)
Sendmail: Oprava problému CAN-2002-0906, v dôsledku ktorého dochádza k pretečeniu vyrovnávacej pamäte v súčasti Sendmail pred verziou 8.12.5, keď je nakonfigurovaná na používanie vlastnej mapy DNS na dopytovanie záznamov TXT, čo môže umožniť útok odmietnutia služby a prípadne aj spustenie ľubovoľného kódu. Mac OS X 10.2.4 obsahuje súčasť Sendmail 8.12.6 s aplikovanou opravou SMRSH, ktorá rieši aj problém CAN-2002-1165.
AFP: Oprava problému CAN-2003-0049 „AFP login permissions for the system administrator“ (Prihlasovacie práva AFP pre správcu systému). Poskytuje možnosť, podľa ktorej sa správca systému môže alebo nemôže prihlásiť ako používateľ a vykonať overenie prostredníctvom svojho hesla správcu. Predtým sa správcovia mohli vždy prihlásiť ako používatelia a vykonať overenie prostredníctvom vlastného hesla správcu.
Classic: Oprava problému CAN-2003-0088, v dôsledku ktorého môže útočník zmeniť premennú prostredia a vytvoriť ľubovoľné súbory alebo prepísať existujúce súbory, čo môže viesť k získaniu oprávnení vyššej úrovne. Poďakovanie za odhalenie tohto problému si zaslúži Dave G. z tímu @stake, Inc.
Samba: Predchádzajúce vydania systému Mac OS X nie sú zraniteľné voči problému CAN-2002-1318 v súčasti Samba s kontrolou dĺžky pri zmene zašifrovaného hesla. Mac OS X v súčasnosti používa na overovanie adresárové služby Directory Services a nevolá funkciu Samba s nedostatočným zabezpečením. Aby sa však zabránilo potenciálnemu budúcemu zneužitiu prostredníctvom tejto funkcie, bola aplikovaná oprava zo súčasti Samba 2.2.7, hoci daná verzia súčasti Samba nebola pre toto vydanie aktualizácie zmenená. Ďalšie informácie nájdete na: http://samba.org/
Mac OS X 10.2.4 Server
QuickTime Streaming Server: Oprava problému CAN-2003-0050 so spustením ľubovoľného príkazu QTSS. Server QuickTime Streaming Administration Server sa pri overovaní a komunikácii s používateľom spolieha na aplikáciu parse_xml.cgi. Táto súčasť CGI môže poskytnúť neoverený vstup, čo môže vzdialenému útočníkovi umožniť spustiť ľubovoľný kód na serveri a získať oprávnenia používateľa root. Poďakovanie za nájdenie tohto nedostatočne zabezpečeného miesta si zaslúži Dave G. z tímu @stake, Inc.
QuickTime Streaming Server: Oprava problému CAN-2003-0051 s odhalením fyzickej cesty QTSS. Server QuickTime Streaming Administration Server sa pri overovaní a komunikácii s používateľom spolieha na aplikáciu parse_xml.cgi. Táto súčasť CGI by sa mohla použiť na odhalenie fyzickej cesty, na ktorej sú nainštalované servery správy Darwin/Quicktime. Poďakovanie za nájdenie tohto nedostatočne zabezpečeného miesta si zaslúži tím @stake, Inc.
QuickTime Streaming Server: Oprava problému CAN-2003-0052 so zoznamami adresárov QTSS. Server QuickTime Streaming Administration Server sa pri overovaní a komunikácii s používateľom spolieha na aplikáciu parse_xml.cgi. Táto súčasť CGI by sa mohla použiť na odhalenie ľubovoľných zoznamov adresárov z dôvodu nedostatočného overovania vstupov používateľa v aplikácii. Poďakovanie za nájdenie tohto nedostatočne zabezpečeného miesta si zaslúži Ollie Whitehouse z tímu @stake, Inc.
QuickTime Streaming Server: Oprava problému CAN-2003-0053 s prihlasovacími údajmi QTSS. Server QuickTime Streaming Administration Server sa pri overovaní a komunikácii s používateľom spolieha na aplikáciu parse_xml.cgi. Nedostatočne zabezpečené miesto pri spracúvaní chybových hlásení z tejto súčasti CGI sa môže použiť pri útoku využívajúcom skriptovanie medzi lokalitami na získanie platných prihlasovacích údajov. Poďakovanie za nájdenie tohto nedostatočne zabezpečeného miesta si zaslúži Ollie Whitehouse z tímu @stake, Inc.
QuickTime Streaming Server: Oprava problému CAN-2003-0054 so spustením ľubovoľného príkazu pri prezeraní protokolov QTSS. Ak neoverený používateľ servera QuickTime Streaming Server zadá požiadavku portu streamovania, požiadavka sa zapíše do súboru protokolu. Požiadavku je možné vytvoriť tak, aby sa mohol spustiť ľubovoľný kód, keď správca systému zobrazí protokoly prostredníctvom prehliadača. Poďakovanie za nájdenie tohto nedostatočne zabezpečeného miesta si zaslúži Ollie Whitehouse z tímu @stake, Inc.
QuickTime Streaming Server: Oprava problému CAN-2003-0055 s pretečením vyrovnávacej pamäte v aplikácii MP3 Broadcasting. V samostatnej aplikácii MP3Broadcaster dochádza k pretečeniu vyrovnávacej pamäte. MP3 súbor, ktorého názov má viac ako 256 bajtov, spôsobí pretečenie vyrovnávacej pamäte. Toto by mohli využiť miestni/ftp používatelia na získanie oprávnení vyššej úrovne. Poďakovanie za nájdenie tohto nedostatočne zabezpečeného miesta si zaslúži Ollie Whitehouse z tímu @stake, Inc.
Sendmail: Oprava problému CAN-2002-0906, v dôsledku ktorého dochádza k pretečeniu vyrovnávacej pamäte v súčasti Sendmail pred verziou 8.12.5, keď je nakonfigurovaná na používanie vlastnej mapy DNS na dopytovanie záznamov TXT, čo môže umožniť útok odmietnutia služby a prípadne aj spustenie ľubovoľného kódu. Mac OS X 10.2.4 obsahuje súčasť Sendmail 8.12.6 s aplikovanou opravou SMRSH, ktorá rieši aj problém CAN-2002-1165 .
AFP: Oprava problému CAN-2003-0049 „AFP login permissions for the system administrator“ (Prihlasovacie práva AFP pre správcu systému). Poskytuje možnosť, podľa ktorej sa správca systému môže alebo nemôže prihlásiť ako používateľ a vykonať overenie prostredníctvom svojho hesla správcu. Predtým sa správcovia mohli vždy prihlásiť ako používatelia a vykonať overenie prostredníctvom vlastného hesla správcu.
Classic: Oprava problému CAN-2003-0088, v dôsledku ktorého môže útočník zmeniť premennú prostredia a vytvoriť ľubovoľné súbory alebo prepísať existujúce súbory, čo môže viesť k získaniu oprávnení vyššej úrovne. Poďakovanie za odhalenie tohto problému si zaslúži Dave G. z tímu @stake, Inc.
Samba: Predchádzajúce vydania systému Mac OS X nie sú zraniteľné voči problému CAN-2002-1318 v súčasti Samba s kontrolou dĺžky pri zmene zašifrovaného hesla. Mac OS X v súčasnosti používa na overovanie adresárové služby Directory Services a nevolá funkciu Samba s nedostatočným zabezpečením. Aby sa však zabránilo potenciálnemu budúcemu zneužitiu prostredníctvom tejto funkcie, bola aplikovaná oprava zo súčasti Samba 2.2.7, hoci daná verzia súčasti Samba nebola pre toto vydanie aktualizácie zmenená. Ďalšie informácie nájdete na: http://samba.org/
Integrated WebDAV Digest Authentication: Modul mod_digest_apple Apache bol pridaný, aby sa zjednodušilo povolenie overovania súhrnu pre existujúcu oblasť WebDAV. Tým sa odstráni potreba udržiavať samostatný súhrnný súbor so zoznamom oprávnených používateľov, hesiel a oblastí. Modul mod_digest_apple funguje v súlade so službou Open Directory na overenie používateľa. Ak si chcete prečítať ďalšie podrobnosti, po nainštalovaní systému Mac OS X Server verzie 10.2.4 otvorte Help Viewer, v zásuvke vyberte Mac OS X Server Help a vyhľadajte „New: Enabling Integrated WebDAV Digest Authentication“ (Nové: Povolenie integrovaného overovania súhrnu WebDAV).
Mac OS X 10.2.3
fetchmail: Oprava problémov CAN-2002-1174 a CAN-2002-1175, v dôsledku ktorých by mohlo dôjsť k potenciálnemu odmietnutiu služby pri používaní nástroja príkazového riadka fetchmail. Nástroj fetchmail je aktualizovaný na verziu 6.1.2+IMAP-GSS+SSL+INET6
CUPS: Poskytuje opravy nasledujúcich potenciálnych problémov, ktoré by mohli byť zneužité na diaľku, keď je povolené zdieľanie tlačiarní. Zdieľanie tlačiarní nie je v systéme Mac OS X alebo Mac OS X Server predvolene povolené.
CAN-2002-1383: Viacero problémov s pretečením celočíselných hodnôt
CAN-2002-1366: /etc/cups/certs/ Problém s postupnosťou vykonania procesov
CAN-2002-1367: Pridávanie tlačiarní s paketmi UDP
CAN-2002-1368: Volania Memcpy() so zápornou dĺžkou
CAN-2002-1384: Pretečenia celočíselných hodnôt vo filtri pdftops a Xpdf
CAN-2002-1369: Nebezpečné volanie funkcie Strncat v rámci jobs.c
CAN-2002-1370: Chyba v dizajne koreňového certifikátu
CAN-2002-1371: Obrázky s nulovou šírkou v rámci filters/image-gif.c
CAN-2002-1372: Úniky prostriedkov v deskriptore súboru
Aktualizácia zabezpečenia 2002-11-21
BIND: Aktualizované na verziu 8.3.4 s cieľom opraviť potenciálne nedostatočne zabezpečené miesto na doménovom serveri a v knižnici klienta z nástroja Internet Software Consortium (ISC), ktorý sa dodáva so systémami Mac OS X a Mac OS X Server. Súčasť BIND nie je v systéme Mac OS X alebo Mac OS X Server predvolene zapnutá.
Identifikátory CVE: CAN-2002-1219, CAN-2002-1220, CAN-2002-1221, CAN-2002-0029
Ďalšie informácie nájdete na:http://www.cert.org/advisories/CA-2002-31.htmlhttp://www.kb.cert.org/vuls/id/457875
Mac OS X 10.2.2Táto aktualizácia rieši nasledujúce potenciálne problémy so zabezpečením:
CAN-2002-1266: Zvýšenie úrovne oprávnení lokálneho používateľa cez súbor s obrazom disku Lokálni používateľ môže získať oprávnenia vyššej úrovne v systéme otvorením súboru s obrazom disku, ktorý bol vytvorený v inom počítači s oprávneniami na úrovni správcu.
CAN-2002-0830: Ide o FreeBSD-SA-02:36.nfs, potenciálne nedostatočne zabezpečené miesto v sieťovom súborovom systéme (NFS), v dôsledku ktorého môže vzdialený útočník spôsobiť odmietnutie služby.
IP Firewall: Za určitých okolností môže firewall ipfw integrovaný v systéme Mac OS X blokovať pakety, ktoré sú výslovne povolené pravidlami firewallu. Tento problém nespĺňa formálne požiadavky nedostatočne zabezpečeného miesta a nezískava identifikátor CVE.
CAN-2002-1267: Webová správa tlače CUPS je prístupná na diaľku Používateľ so zlými úmyslami by mohol získať prístup k portu a spustiť utilitu webovej správy tlače CUPS. Potom by bolo možné spôsobiť odmietnutie služby tlačiarni.
CAN-2002-1268: Zvýšenie úrovne oprávnení používateľa cez pripojenie disku ISO 9600 CD Používatelia by mohli získať oprávnenia vyššej úrovne po prihlásení do systému, ktorý má v súborovom systéme k dispozícii disk ISO 9600 CD.
CAN-2002-1269: Aplikácia NetInfo Manager by mohla povoliť prístup k súborovému systému Nedostatočne zabezpečené miesto v aplikácii NetInfo Manager môže umožniť používateľovi so zlými úmyslami prechádzať súborovým systémom.
CAN-2002-1270: Systémové volanie map_fd() Mach môže umožniť čítanie súboru Systémové volanie map_fd() Mach môže volajúcemu umožniť čítať súbor, ku ktorému má iba prístup na zapisovanie.
CAN-2002-1265: Problém TCP v rámci RPC Implementácia libc založená na RPC by mohla zlyhať pri správnom čítaní dát z pripojení TCP. V dôsledku toho mohol vzdialený útočník odmietnuť službu systémovým démonom. Ďalšie informácie nájdete v článku CERT VU#266817 na: http://www.kb.cert.org/vuls/id/266817
CAN-2002-0839, CAN-2002-0840, CAN-2002-0843: Apache Systém Apache sa aktualizoval na verziu 1.3.27, ktorá rieši niekoľko problémov.
Mac OS X Server 10.2.2
Zahŕňa všetky opravy zabezpečenia uvedené pri Mac OS X 10.2.2 a navyše CAN-2002-0661, CAN-2002-0654, CAN-2002-0654: Apache 2 Systém Apache 2 sa dodáva spolu so systémom Mac OS X Server, ale nie je predvolene zapnutý. Táto verzia je aktualizovaná na verziu Apache 2.0.42, ktorá rieši niekoľko problémov.
Aktualizácia zabezpečenia 2002-10-15 súčasti StuffIt Expander
Stuffit Expander: CAN-2002-0370. Táto aktualizácia rieši potenciálne nedostatočne zabezpečené miesto vo verzii 6.5.2 a starších súčasti Stuffit Expander. Ďalšie informácie sú dostupné na: http://www.kb.cert.org/vuls/id/383779 .
Aktualizácia zabezpečenia 2002-09-20
Terminal: Táto aktualizácia opravuje potenciálne nedostatočne zabezpečené miesto v súčasti Terminal verzie 1.3 (v81) dodávanej so systémom Mac OS X 10.2, ktorá by mohla útočníkovi umožniť na diaľku spustiť ľubovoľné príkazy v systéme používateľa. Súčasť Terminal je touto aktualizáciou zabezpečenia aktualizovaná na verziu 1.3.1 (v82).
Aktualizácia zabezpečenia 2002-08-23
Táto aktualizácia zabezpečenia je určená pre Mac OS X 10.2 a aplikuje opravy obsiahnuté v aktualizácii zabezpečenia 2002-08-02, ktorá bola určená pre Mac OS X 10.1.5.
Aktualizácia zabezpečenia 2002-08-20
Secure Transport: Táto aktualizácia zlepšuje overovanie certifikátov v systéme OS X a teraz je plne v súlade s certifikátom infraštruktúry verejných kľúčov Internet X.509 a profilom CRL Profile (RFC2459).
Aktualizácia zabezpečenia 2002-08-02
Táto aktualizácia rieši nasledujúce nedostatočne zabezpečené miesta, ktoré sa týkajú aktuálnych dodávaných verzií systému Mac OS X Server. Tieto služby sú v klientovi Mac OS X predvolene vypnuté, ak sú však tieto služby zapnuté, klient môže byť vystavený nebezpečenstvu. Túto aktualizáciu by si mali nainštalovať aj používatelia klienta Mac OS X.
OpenSSL: Opravuje nedostatočne zabezpečené miesta CAN-2002-0656, CAN-2002-0657, CAN-2002-0655 a CAN-2002-0659. Podrobnosti nájdete na: http://www.cert.org/advisories/CA-2002-23.html
mod_ssl: Oprava problému CAN-2002-0653, pretečenia vyrovnávacej pamäte súvisiaceho s použitím hodnoty o jednotku menšej alebo väčšej v module mod_ssl Apache. Podrobnosti nájdete na: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0653
Sun RPC: Oprava problému CAN-2002-039, pretečenia vyrovnávacej pamäte v dekodéri Sun RPC XDR. Podrobnosti nájdete na: http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20823
Aktualizácia zabezpečenia 7-18-02 (2002-07-18)
Software Update: Obsahuje klienta Software Update 1.4.7, ktorý pridáva kryptografické overovanie podpisu do nástroja príkazového riadka softwareupdate. Spolu s existujúcou možnosťou aktualizácie softvéru obsiahnutou v Systémových nastaveniach to poskytuje ďalší prostriedok na vykonávanie aktualizácií softvéru bezpečným spôsobom.
Aktualizácia zabezpečenia 7-12-02 (2002-07-12)
Software Update: Oprava problému s identifikátorom CVE CAN-2002-0676 na zvýšenie zabezpečenia procesu Software Update pre systémy s klientom Software Update 1.4.5 alebo starším. Balíky poskytované prostredníctvom mechanizmu Software Update sú teraz kryptograficky podpísané a nový klient Software Update 1.4.6 kontroluje platný podpis pred inštaláciou nových balíkov.
Aktualizácia zabezpečenia z júla 2002 (2002-07)
Apache: Oprava problému s identifikátorom CVE CAN-2002-0392, v dôsledku ktorého môžu vzdialení útočníci spôsobiť odmietnutie služby a prípadne spustiť ľubovoľný kód. Ďalšie podrobnosti nájdete na: http://www.cert.org/advisories/CA-2002-17.html
OpenSSH: Oprava dvoch nedostatočne zabezpečených miest, CAN-2002-0639 a CAN-2002-0640, v dôsledku ktorých môže byť vzdialený útočník schopný spustiť ľubovoľný kód v lokálnom systéme. Ďalšie podrobnosti nájdete na: http://www.cert.org/advisories/CA-2002-18.html
Mac OS X 10.1.5
sudo – oprava problému CAN-2002-0184, v dôsledku ktorého mohlo pretečenie haldy v súčasti sudo umožniť lokálnym používateľom získať oprávnenia používateľa root prostredníctvom špeciálnych znakov v argumente -p (prompt).
sendmail – oprava problému CVE-2001-0653, v dôsledku ktorého sa vo funkcii ladenia súčasti Sendmail vyskytla chyba overenia vstupu, ktorá mohla viesť ku kompromitácii systému.
Aktualizácia zabezpečenia (2002-04) prehliadača Internet Explorer 5.1
Týmto sa rieši nedostatočne zabezpečené miesto, ktoré by mohlo útočníkovi umožniť prevziať kontrolu nad vašim počítačom. Spoločnosť Microsoft medzitým ukončila podporu a vývoj prehliadača Internet Explorer pre Mac, zvážte preto prechod na prehliadač Safari.
Mac OS X 10.1.4
TCP/IP broadcast: Oprava problému CAN-2002-0381, takže pripojenia TCP/IP teraz kontrolujú a blokujú cieľové IP adresy vysielania alebo multicastu. Ďalšie podrobnosti nájdete na: http://www.FreeBSD.org/cgi/query-pr.cgi?pr=35022
Aktualizácia zabezpečenia – apríl 2002 (2002-04)
Apache – súčasť aktualizovaná na verziu 1.3.23, aby obsahovala opravu zabezpečenia mod_ssl.
Apache Mod_SSL – súčasť aktualizovaná na verziu 2.8.7-1.3.23 s cieľom vyriešiť nedostatočne zabezpečené miesto CAN-2002-0082 s pretečením vyrovnávacej pamäte, ktoré môže byť potenciálne zneužité na spustenie ľubovoľného kódu. Ďalšie podrobnosti nájdete na: http://archives.neohapsis.com/archives/bugtraq/2002-02/0313.html
groff – súčasť aktualizovaná na verziu 1.17.2 s cieľom vyriešiť nedostatočne zabezpečené miesto CAN-2002-0003, v dôsledku ktorého by mohol útočník na diaľku získať práva ako používateľ „lp“. Ďalšie podrobnosti nájdete na: http://online.securityfocus.com/advisories/3859
mail_cmds – súčasť aktualizovaná s cieľom opravy nedostatočne zabezpečeného miesta, v dôsledku ktorého by používatelia mohli byť pridaní do poštovej skupiny.
OpenSSH – súčasť aktualizovaná na verziu 3.1p1 s cieľom vyriešiť nedostatočne zabezpečené miesto CAN-2002-0083, v dôsledku ktorého by útočník mohol ovplyvniť obsah pamäte. Ďalšie podrobnosti nájdete na: http://www.pine.nl/advisories/pine-cert-20020301.html
PHP – súčasť aktualizovaná na verziu 4.1.2 s cieľom vyriešiť nedostatočne zabezpečené miesto CAN-2002-0081, v dôsledku ktorého by útočník mohol spustiť ľubovoľný kód s oprávneniami webového servera. Ďalšie podrobnosti nájdete na: http://www.cert.org/advisories/CA-2002-05.html
rsync – súčasť aktualizovaná na verziu 2.5.2 s cieľom vyriešiť nedostatočne zabezpečené miesto CAN-2002-0048, v dôsledku ktorého by mohlo dôjsť k poškodeniu zásobníka a prípadne k spusteniu ľubovoľného kódu v mene používateľa root. Ďalšie podrobnosti nájdete na: ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:10.rsync.asc
sudo – súčasť aktualizovaná na verziu 1.6.5p2 s cieľom vyriešiť nedostatočne zabezpečené miesto CAN-2002-0043, v dôsledku ktorého by lokálny používateľ mohol získať oprávnenia superpoužívateľa. Ďalšie podrobnosti nájdete na: ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:06.sudo.asc
Mac OS X 10.1.3
openssh – súčasť aktualizovaná na verziu 3.0.2p1 s cieľom vyriešiť niekoľko nedostatočne zabezpečených miest v predchádzajúcej verzii. Ďalšie podrobnosti nájdete na: http://www.openssh.com/security.html
WebDAV – rozšírenie režimu overovania Digest Authentication, aby spolupracoval s ďalšími servermi
Aktualizácia zabezpečenia 10-19-01 (2001-10-19)
Oprava nedostatočne zabezpečeného miesta opísaného na stránke http://www.stepwise.com/Articles/Admin/2001-10-15.01.html, v dôsledku ktorého môžu byť aplikácii udelené oprávnenia prístupu používateľa root.
Internet Explorer 5.1.1
IE 5.1.1 – oprava problému so súčasťou IE 5.1 dodávanou so systémom Mac OS X v10.1, v dôsledku ktorého Internet Explorer automaticky spúšťal stiahnutý softvér, čo mohlo viesť k strate údajov alebo inému poškodeniu. Ďalšie informácie nájdete v technickej dokumentácii č. 106503 „Mac OS X 10.1: Internet Explorer Executes Downloaded Software Automatically„ (Mac OS X 10.1: Internet Explorer automaticky spúšťa stiahnutý softvér).
Mac OS X 10.1
crontab – oprava nedostatočne zabezpečeného miesta opísaného na stránke FreeBSD-SA-01:09 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:09.crontab.v1.1.asc), v dôsledku ktorého môžu lokálni používatelia čítať ľubovoľné lokálne súbory, ktoré zodpovedajú platnej syntaxi súboru crontab.
fetchmail
Oprava nedostatočne zabezpečeného miesta s pretečením vyrovnávacej pamäte opísaného na stránke FreeBSD-SA-01:43 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:43.fetchmail.asc)
Oprava problému s veľkou hlavičkou opísaného na stránke BugTraq MDKSA-2001:063: fetchmail (http://www.securityfocus.com/advisories/3426)
Oprava nedostatočne zabezpečeného miesta s prepisovaním pamäte opísaného na stránke BugTraq ESA-20010816-01: fetchmail-ssl (http://www.securityfocus.com/advisories/3502)
ipfw – oprava nedostatočne zabezpečeného miesta opísaného na stránke FreeBSD-SA-01:08.ipfw (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:08.ipfw.asc), v dôsledku ktorého možno vytvoriť vzdialený útok pomocou paketov TCP s nastaveným príznakom ECE.
java – oprava nedostatočne zabezpečeného miesta opísaného na:http://sunsolve.Sun.COM/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/216&type=0&nav=sec.sbl&ttl=sec.sbl, v dôsledku ktorého môže nedôveryhodný applet monitorovať požiadavky na HTTP proxy server a odpovede z neho.
open() syscall – oprava nedostatočne zabezpečeného miesta opísaného na stránke FreeBSD-SA-97:05.open (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/old/FreeBSD-SA-97:05.open.asc), v dôsledku ktorého by mohol iný používateľ vykonávať v systéme neoprávnené I/O príkazy.
OpenSSL – zahŕňa verziu 0.9.6b, ktorá obsahuje niekoľko opráv z predchádzajúcej verzie. Podrobnosti nájdete na stránke http://www.openssl.org/.
procmail – oprava nedostatočne zabezpečeného miesta opísaného na stránke Red Hat RHSA-2001:093-03 (http://www.redhat.com/support/errata/RHSA-2001-093.html), v dôsledku ktorého sa signály nespracúvajú správne.
rwhod – oprava nedostatočne zabezpečeného miesta opísaného na stránke FreeBSD-SA-01:29.rwhod (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:29.rwhod.asc), v dôsledku ktorého môžu vzdialení používatelia spôsobiť zlyhanie démona rwhod a odmietnuť tak službu klientom.
setlocale() string overflow – oprava nedostatočne zabezpečeného miesta opísaného na stránke FreeBSD-SA-97:01.setlocale (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/old/FreeBSD-SA-97:01.setlocale), v dôsledku ktorého volanie setlocale() obsahuje niekoľko potenciálnych zneužití prostredníctvom pretečenia reťazca počas rozšírenia premennej prostredia.
sort – oprava nedostatočne zabezpečeného miesta opísaného na stránke CERT Vulnerability Note VU#417216 (http://www.kb.cert.org/vuls/id/417216), v dôsledku ktorého môže útočník zablokovať činnosť programov správy systému tým, že spôsobí zlyhanie utility sort.
system clipboard/J2SE – oprava problému so zabezpečením, v dôsledku ktorého mohli neoprávnené applety pristupovať k systémovej schránke.
tcpdump – oprava nedostatočne zabezpečeného miesta opísaného na stránke FreeBSD-SA-01:48 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:48.tcpdump.asc), v dôsledku ktorého mohli vzdialení používatelia spôsobiť zlyhanie lokálneho procesu tcpdump, ako aj spustenie ľubovoľného kódu.
TCP Initial Sequence Numbers – oprava potenciálne nedostatočne zabezpečeného miesta opísaného na stránke FreeBSD-SA-00:52 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-00:52.tcp-iss.asc), v dôsledku ktorého algoritmus na generovanie čísel, ktoré systém použije pre ďalšie prichádzajúce pripojenie TCP, nebol dostatočne náhodný.
tcsh '>>' operator – oprava nedostatočne zabezpečeného miesta opísaného na stránke FreeBSD-SA-00:76 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-00:76.tcsh-csh.asc), v dôsledku ktorého môžu neoprávnení lokálni používatelia spôsobiť prepísanie ľubovoľného súboru, keď iná osoba vyvolá operátor „<<“ v rámci tcsh (napr. zo shellového skriptu).
telnetd – oprava nedostatočne zabezpečeného miesta opísaného na stránke FreeBSD-SA-01:49 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:49.telnetd.v1.1.asc), v dôsledku ktorého môžu vzdialení používatelia spôsobiť spustenie ľubovoľného kódu v mene používateľa spúšťajúceho telnetd.
timed – oprava nedostatočne zabezpečeného miesta opísaného na stránke FreeBSD-SA-01:28 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:28.timed.asc), v dôsledku ktorého môžu vzdialení používatelia spôsobiť zlyhanie démona timed a odmietnuť tak službu klientom.
Mac OS X Server 10.1
MySQL 3.23.42 – obsahuje niekoľko opráv z predchádzajúcej verzie. Podrobnosti nájdete v časti 3.23.42 na stránke MySQL (http://www.mysql.com/downloads/mysql-3.23.html).
Tomcat 3.2.3 – obsahuje niekoľko opráv z predchádzajúcej verzie. Podrobnosti nájdete na stránke Tomcat (http://jakarta.apache.org/tomcat/).
Apache – oprava nedostatočne zabezpečeného miesta v súbore .DS_Store opísaného na stránke http://securityfocus.com/bid/3324
Apache – oprava potenciálne nedostatočne zabezpečeného miesta, v dôsledku ktorého mohli byť súbory .htaccess viditeľné pre webové prehliadače, ak boli vytvorené na zväzkoch HFS+. Súborová direktíva v súbore http.conf bola upravená tak, aby blokovala v prípade webových prehliadačov viditeľnosť všetkých súborov, ktorých názvy sa začínajú na .ht bez ohľadu na veľkosť písmen.
Mac OS X Web Sharing Update 1.0
Apache 1.3.19 – oprava problémov so zabezpečením v prípade stránok, ktoré používajú modul hromadného virtuálneho hostingu mod_vhost_alias alebo mod_rewrite.
mod_hfs_apple – oprava problémov systému Apache s veľkými a malými písmenami na zväzkoch Mac OS Extended (HFS+).
OpenSSH 2.9p2 – oprava nedostatočne zabezpečeného miesta v SSH1 opísaného na stránke http://www.openwall.com/advisories/OW-003-ssh-traffic-analysis.txt.
sudo – oprava nedostatočne zabezpečeného miesta s pretečením vyrovnávacej pamäte opísaného na stránke FreeBSD-SA-01:38 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:38.sudo.asc)
Mac OS X 10.0.4 Server Update
Samba 2.0.9 – oprava nedostatočne zabezpečeného miesta s makrami opísaného na stránke us1.samba.org/samba/whatsnew/macroexploit.html
sudo – oprava nedostatočne zabezpečeného miesta s pretečením vyrovnávacej pamäte opísaného na stránke FreeBSD-SA-01:38 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:38.sudo.asc)
Mac OS X 10.0.2
FTP – oprava nedostatočne zabezpečeného miesta s používaním zástupných znakov v súboroch opísaného na stránke CERT(R) Advisory CA-2001-07 (http://www.cert.org/advisories/CA-2001-07.html)
NTP – oprava nedostatočne zabezpečeného miesta s pretečením vyrovnávacej pamäte opísaného na stránke FreeBSD-SA-01:31 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:31.ntpd.asc)
Mac OS X 10.0.1
OpenSSH-2.3.0p1 – služby SSH sú povolené na paneli Zdieľanie v Systémových nastaveniach
Mac OS Runtime for Java (MRJ) 2.2.5
MRJ 2.2.5 – oprava problému so zabezpečením, v dôsledku ktorého mohli neoprávnené applety pristupovať k systémovej schránke.