À propos de Security Update 2005-003

This article has been archived and is no longer updated by Apple.

Ce document fournit une description de la mise à jour de sécurité 2005-003, qu’il est possible de télécharger et d’installer grâce à l’option Mise à jour de logiciels ou depuis la page des Téléchargements de logiciels Apple.

Dans un souci de protection de sa clientèle, Apple s’engage à ne pas divulguer, commenter ou confirmer les problèmes de sécurité tant qu’une enquête complète n’a pas été menée et que des correctifs ou d’autres versions ne sont pas disponibles. Pour en savoir plus sur la sécurité des produits Apple, rendez-vous sur la page Apple Product Security du site Web d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Security Update 2005-003

  • Serveur AFP
    Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
    Référence CVE : CAN-2005-0340
    Conséquences : un paquet de données constitué à cet effet peut attaquer le serveur AFP avec un refus de service.
    Description : un paquet de données constitué à cet effet interrompt le fonctionnement du serveur AFP à cause d'une référence de mémoire incorrecte. Nous remercions Braden Thomas pour avoir signalé ce problème.

  • Serveur AFP
    Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
    Référence CVE : CAN-2005-0715
    Conséquences : il est possible de découvrir le contenu d'une boîte de dépôt.
    Description : répare la vérification des permissions de fichiers pour l'accès aux boîtes de dépôt. Nous remercions John M. Glenn (San Francisco) pour avoir signalé ce problème.

  • Assistant réglages Bluetooth
    Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
    Référence CVE : CAN-2005-0713
    Conséquences : violation de sécurité locale lors de l'utilisation d'un périphérique d'entrée Bluetooth.
    Description : il est possible de lancer l'Assistant réglages Bluetooth sur des systèmes sans clavier ou équipés d'un périphérique d'entrée Bluetooth préconfiguré. Dans ces cas, l'accès à certaines fonctions disposant de privilèges a été désactivé au sein de l'Assistant réglages Bluetooth.

  • Core Foundation
    Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
    Référence CVE : CAN-2005-0716
    Conséquences : dépassement de mémoire tampon via une variable d'environnement.
    Description : la gestion incorrecte d'une variable d'environnement au sein de Core Foundation peut conduire à un dépassement de mémoire tampon permettant d'exécuter du code arbitraire. Ce problème a été résolu par la gestion correcte de la variable d'environnement. Nous remercions iDEFENSE et Adriano Lima (SeedSecurity.com) pour avoir signalé ce problème.

  • Cyrus IMAP
    Disponible pour : Mac OS X Server v10.3.8
    Références CVE : CAN-2004-1011, CAN-2004-1012, CAN-2004-1013, CAN-2004-1015, CAN-2004-1067
    Conséquences : vulnérabilité multiples dans Cyrus IMAP, notamment des refus de service et des dépassements de mémoire tampon exploitables à distance.
    Description : la mise à jour 2.2.12 de Cyrus IMAP comprend des correctifs pour les dépassements de mémoire tampon dans fetchnews, backend, proxyd et imapd. Pour tout renseignement complémentaire, consultez http://asg.web.cmu.edu/cyrus/download/imapd/changes.html.

  • Cyrus SASL
    Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
    Références CVE : CAN-2002-1347, CAN-2004-0884
    Conséquences : vulnérabilités multiples dans Cyrus ASL, notamment des refus de service à distance et une exécution possible de code distant dans des applications utilisant cette bibliothèque.
    Description : mise à jour de Cyrus SASL comprenant des correctifs pour plusieurs risques potentiels de sécurité causés par une validation de données, une allocation de mémoire et une gestion de données incorrectes.

  • Permissions de dossiers
    Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
    Référence CVE : CAN-2005-0712
    Conséquences : permissions d'écriture complète sur plusieurs répertoires, permettant des conditions de course de fichiers ou une augmentation des privilèges locaux.
    Description : application de permissions de dossier dans le but de protéger le cache de réception du programme d'installation et les profils ColorSync de niveau système. Nous remercions Eric Hall (DarkArt Consulting Services), Michael Haller (info@cilly.com) et (root at addcom.de) pour avoir signalé ce problème.

  • Mailman
    Disponible pour : Mac OS X Server v10.3.8
    Référence CVE : CAN-2005-0202
    Conséquences : problème de parcours de répertoire dans Mailman pouvant permettre l'accès à des fichiers arbitraires.
    Description : Mailman est un logiciel fournissant une gestion de listes de distribution. Cette mise à jour résout un risque potentiel dans la gestion de l'archivage privé de Mailman qui permettait un accès distant à des fichiers arbitraires du système. Pour tout renseignement complémentaire, consultez http://www.gnu.org/software/mailman/security.html.

  • Safari
    Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
    Référence CVE : CAN-2005-0234
    Conséquences : des noms internationaux de domaine (IDN) malveillants peuvent rendre leurs URL visuellement semblables à celles de sites légitimes.
    Description : la prise en charge de caractères Unicode au sein de noms de domaine (prise en charge des noms internationaux de domaines) permet à des noms de domaines enregistrés de manière malveillante de ressembler à ceux de sites légitimes. Safari a été modifié de telle sorte qu'il consulte une liste personnalisable par l'utilisateur de scripts qui ont l'autorisation d'être affichés de manière native. Les caractères basés sur des scripts n'appartenant pas à cette liste sont affichés dans leur équivalent Punycode. La liste des scripts autorisés par défaut ne comprend pas de script ressemblant à des scripts latins. Nous remercions Eric Johanson (eric@shmoo.com) pour avoir signalé ce problème. Pour plus de renseignements, consultez cet article.

  • Samba
    Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
    Références CVE : CAN-2004-0882, CAN-2004-0930, CAN-2004-1154
    Conséquences : des vulnérabilités multiples dans Samba comprenant un refus de service à distance et l'exécution distante possible de commandes arbitraires
    Description : Plusieurs vulnérabilités de sécurité ont été résolues dans les plus récentes versions de Samba. La mise à jour 2005-003 installe Samba version 3.0.10 afin de fournir ces correctifs. Des renseignements supplémentaires sont disponibles sur le site de sécurité de Samba à http://www.samba.org/samba/history/security.html

  • SquirrelMail
    Disponible pour : Mac OS X Server v10.3.8
    Références CVE : CAN-2004-1036, CAN-2005-0075, CAN-2005-0103, CAN-2005-0104
    Conséquences : vulnérabilités multiples dans Squirrelmail, notamment scriptage croisé entre sites et injection de code HTML
    Description : SquirrelMail 1.4.4 résout plusieurs problèmes de sécurité, notamment un ensemble de risques liés au scriptage croisé entre sites et la possibilité d'utiliser webmail.php pour inclure des pages Web depuis des serveurs distants. CAN-2005-0075 est un problème résolu dans SquirrelMail 1.4.4, mais qui n'affecte pas la configuration par défaut de Mac OS X puisque register_globals n'est pas activé. Des renseignements supplémentaires sont disponibles sur le site de sécurité de SquirrelMail situé à http://www.squirrelmail.org/changelog.php

  • Telnet
    Disponible pour : Mac OS X v10.3.8, Mac OS X Server v10.3.8
    Références CVE : CAN-2005-0468, CAN-2005-0469
    Conséquences : les serveurs telnet malveillants peuvent causer l'exécution de code local
    Description : cette mise à jour résout deux dépassements de mémoire tampon dans le client telnet qui pouvaient permettre l'exécution de code local par un serveur telnet malveillant. Nous remercions iDEFENSE pour avoir signalé ce problème.

Important : les renseignements concernant des produits non fabriqués par Apple ne sont fournis qu'à titre indicatif et ne constituent ni une recommandation ni une approbation de la part d'Apple. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Important : les mentions de sites Web et de produits tiers ne sont qu'à titre indicatif et ne constituent ni une recommandation ni une approbation d'Apple. Apple n'endosse aucune responsabilité au sujet de la sélection, des performances ou de l'utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n'a pas vérifié les informations qui se trouvent sur lesdits sites et n'effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l'usage de tout renseignement ou produit trouvé sur Internet, et Apple n'endosse aucune responsabilité à cet égard. Veuillez comprendre qu'un site tiers est indépendant d'Apple et qu'Apple n'a aucun contrôle sur le contenu dudit site.

Published Date: 10 oct. 2016