Over beveiligingsupdate 2008-007

In dit document wordt beveiligingsupdate 2008-007 beschreven, die je kunt downloaden en installeren via de voorkeuren voor Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Beveiligingsupdate 2008-007

  • Apache

    • CVE-ID: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    • Beschikbaar voor: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: meerdere kwetsbaarheden in Apache 2.2.8

    • Beschrijving: Apache is bijgewerkt naar versie 2.2.9 om verschillende kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot cross-site aanvraagvervalsing. Apache versie 2 wordt niet geleverd bij Mac OS X Client-systemen ouder dan versie 10.5. Apache versie 2 wordt geleverd bij Mac OS X Server v10.4x-systemen, maar is niet standaard geactiveerd. Meer informatie is beschikbaar via de Apache-website op http://httpd.apache.org/

  • Certificates

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: rootcertificaten zijn bijgewerkt

    • Beschrijving: een aantal vertrouwde certificaten is toegevoegd aan de lijst met systeemroots. Een aantal bestaande certificaten is bijgewerkt naar de meest recente versie. De volledige lijst met herkende systeemroots kun je bekijken via de app Sleutelhangertoegang.

  • ClamAV

    • CVE-ID: CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

      Beschikbaar voor: Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Impact: meerdere kwetsbaarheden in ClamAV 0.93.3

    • Beschrijving: er zijn meerdere kwetsbaarheden in ClamAV 0.93.3, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze update verhelpt dit probleem door bij te werken naar ClamAV 0.94. ClamAV wordt niet geleverd bij Mac OS X Client-systemen. Ga voor meer informatie naar de website van ClamAV op http://www.clamav.net/

  • ColorSync

    • CVE-ID: CVE-2008-3642

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code

    • Beschrijving: er was een bufferoverloop bij de verwerking van afbeeldingen met een ingebed ICC-profiel. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed ICC-profiel kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van ICC-profielen in afbeeldingen uit te voeren. Met dank aan Apple.

  • CUPS

    • CVE-ID: CVE-2008-3641

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: een externe aanvaller kan mogelijk het uitvoeren van willekeurige code veroorzaken met de bevoegdheden van de 'lp'-gebruiker

    • Beschrijving: er treedt een bereikcontroleprobleem op in de Hewlett-Packard Graphics Language (HPGL)-filter, waardoor er mogelijk willekeurig geheugen wordt vervangen met gereguleerde gegevens. Als printers worden gedeeld, kan een externe aanvaller mogelijk een willekeurige code-uitvoering veroorzaken met de bevoegdheden van de 'lp'-gebruiker. Als het delen van printers niet is ingeschakeld, kan een lokale gebruiker mogelijk meer bevoegdheden krijgen. Deze update lost het probleem op door een aanvullende bereikcontrole uit te voeren. Dank aan regenrecht in samenwerking met TippingPoint en het Zero Day Initiative voor het melden van dit probleem.

  • Finder

    • CVE-ID: CVE-2008-3643

    • Beschikbaar voor: Mac OS X v10.5.5, Mac OS X Server v10.5.5

      Impact: een bestand op het bureaublad kan leiden tot een weigering van service

    • Beschrijving: er treedt een foutherstelprobleem op in de Finder. Een kwaadwillig vervaardigd bestand op het bureaublad kan zorgen dat Finder constant sluit en opnieuw start doordat Finder onverwacht sluit bij het aanmaken van het symbool van het bestand. De gebruikersaccount is niet bereikbaar via de gebruikersinterface van Finder totdat het bestand wordt verwijderd. Deze update verhelpt dit probleem door symbolen te genereren in een afzonderlijk proces. Computersystemen vóór Mac OS X v10.5 hebben geen last van dit probleem. Dank aan Sergio 'shadown' Alvarez of n.runs AG voor het melden van dit probleem.

  • launchd

    • Impact: het verplaatsen van apps naar een sandbox kan mislukken

    • Beschikbaar voor: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Beschrijving: deze update verhelpt een probleem in Mac OS X v10.5.5. Een implementatieprobleem in launchd kan leiden tot het mislukken van een aanvraag van een app om in een sandbox te worden geplaatst. Dit probleem heeft geen effect op programma's die gebruik maken van de gedocumenteerde sandbox_init API. Deze update verhelpt het probleem door een bijgewerkte versie van launchd te leveren. Deze kwestie heeft geen invloed op systemen ouder dan Mac OS X v10.5.5.

  • libxslt

    • CVE-ID: CVE-2008-1767

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: het verwerken van een XML-document kan leiden tot het onverwacht beëindigen van de app of het uitvoeren van willekeurige code

      Beschrijving: er treedt een heapbufferoverloop op in de bibliotheek libxslt. Het weergeven van een kwaadwillig vervaardigde HTML-pagina kan leiden tot het onverwacht beëindigen van de app of het uitvoeren van willekeurige code. Meer informatie over de toegepaste patch vindt je via http://xmlsoft.org/XSLT/. Met dank aan Anthony de Almeida Lopes van Outpost24 AB en Chris Evans van Google Security Team voor het melden van dit probleem.

  • MySQL Server

    • CVE-ID: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    • Beschikbaar voor: Mac OS X Server v10.5.5

      Impact: meerdere kwetsbaarheden in MySQL 5.0.45

    • Beschrijving: MySQL is bijgewerkt naar versie 5.0.67 om verschillende kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze problemen hebben alleen effect op Mac OS X SERVER-systemen. Je kunt meer informatie vinden via de website van MySQL op http://dev.mysql.com/doc/refman/5.0/en/news-5-0-67.html

  • Networking

    • CVE-ID: CVE-2008-3645

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: een lokale gebruiker kan systeembevoegdheden verkrijgen

    • Beschrijving: er treedt een heapbufferoverloop op in de lokale IPC-component van de EAPOLController-plugin van configd waardoor een lokale gebruiker aan systeemrechten zou kunnen komen. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Apple.

  • PHP

    • CVE-ID: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Impact: meerdere kwetsbaarheden in PHP 4.4.8

    • Beschrijving: PHP is bijgewerkt naar versie 4.4.9 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Je vindt meer informatie op de website van PHP op http://www.php.net/ Deze problemen hebben alleen invloed op systemen die gebruikmaken van Mac OS X v10.4.x, Mac OS X Server v10.4.x, of Mac OS X Server v10.5.x.

  • Postfix

    • CVE-ID: CVE-2008-3646

    • Beschikbaar voor: Mac OS X v10.5.5

      Impact: een externe aanvaller kan mogelijk e-mail direct naar lokale gebruikers sturen

    • Beschrijving: er treedt een probleem op in de configuratiebestanden van Postfix. Postfix is toegankelijk vanuit het netwerk gedurende een minuut na het versturen van e-mail door de lokale opdrachtregelhulpprogramma. Tijdens deze periode kan een externe entiteit die verbinding kan maken met de SMTP-poort, e-mail versturen naar lokale gebruikers en de SMTP-poort op andere manieren gebruiken. Dit probleem veroorzaakt niet dat het systeem een open mail relay wordt. Dit probleem is verholpen door de Postfix-configuratie te wijzigen om SMTP-verbindingen vanuit externe machines te voorkomen. Dit probleem heeft geen invloed op systemen ouder dan Mac OS X v10.5 en heeft geen invloed op Mac OS X Server. Met dank aan Pelle Johansson voor het vermelden van dit probleem.

  • PSNormalizer

    • CVE-ID: CVE-2008-3647

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: het weergeven van een kwaadwillig vervaardigd PostScript-bestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code

    • Beschrijving: er treedt een bufferoverloop op bij de verwerking van het begrenzingcommentaar in PostScript-bestanden door PSNormalizer. Het weergeven van een kwaadwillig vervaardigd PostScript-bestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van kwaadwillige code. Deze update verhelpt dit probleem door een extra validatie van PostScript-bestanden uit te voeren.

    • Met dank aan Apple.

  • QuickLook

    • CVE-ID: CVE-2008-4211

    • Beschikbaar voor: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: het downloaden of weergeven van een kwaadwillig vervaardigd Microsoft Excel-bestand kan leiden tot de onverwachte beëindiging van de app of het uitvoeren van willekeurige code

    • Beschrijving: er treed een probleem met ondertekening op bij de verwerking van kolommen in Microsoft Excel-bestanden door QuickLook wat kan leiden tot een ongeoorloofde geheugentoegang. Het downloaden of weergeven van een kwaadwillig vervaardigd Microsoft Excel-bestand kan leiden tot de onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Met deze update wordt het probleem verholpen door aanvullende validatie uit te voeren voor Microsoft Excel-bestanden. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5. Met dank aan Apple.

  • rlogin

    • CVE-ID: CVE-2008-4212

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: systemen die handmatig zijn ingesteld om gebruik te maken van rlogin en host.equiv kunnen onverwacht rootaanmelding toestaan

    • Beschrijving: de manpage voor het configuratiebestand hosts.equiv geeft aan dat invoeringen niet gelden voor root. Een uitvoeringsprobleem in rlogind zorgt echter dat deze invoeringen wel gelden voor root. Deze update verhelpt dit probleem door rlogin niet toe te staan voor de root-gebruiker als het externe systeem in hosts.equiv is. De rlogin-service is niet standaard ingeschakeld in Mac OS X en moet handmatig worden ingesteld om te worden ingeschakeld. Met dank aan Ralf Meyer voor het vermelden van dit probleem.

  • Script Editor

    • CVE-ID: CVE-2008-4214

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: een lokale gebruiker kan de bevoegdheden verkrijgen van een andere gebruiker die Script Editor gebruikt

    • Beschrijving: er treedt een onveilig bestandsbehandelingsprobleem op in de app Script Editor bij het openen van scripting-woordenboeken. Een lokale gebruiker kan veroorzaken dat de het scripting-woordenboek wordt geschreven naar een willekeurig pad dat bereikbaar is voor de gebruiker die de app in gebruik heeft. Deze update verhelpt het probleem door het tijdelijke bestand in een beveiligde omgeving aan te maken. Met dank aan Apple.

  • Single Sign-On

    • Beschikbaar voor: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: de sso_util-opdracht accepteert nu wachtwoorden van een bestand

    • Beschrijving: de sso_util-opdracht accepteert nu wachtwoorden van een bestand genoemd in de SSO_PASSWD_PATH-omgevingsvariabel. Hierdoor kunnen geautomatiseerde scripts sso_util veiliger gebruiken.

  • Tomcat

    • CVE-ID: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    • Beschikbaar voor: Mac OS X Server v10.5.5

    • Impact: meerdere kwetsbaarheden in Tomcat 6.0.14

    • Beschrijving: Tomcat in Mac OS X v10.5 is bijgewerkt naar versie 6.0.18 om verschillende kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot een cross-site scripting-aanval. Deze problemen hebben alleen effect op Mac OS X SERVER-systemen. Meer informatie is beschikbaar op de website van Tomcat op http://tomcat.apache.org/

  • vim

    • CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    • Beschikbaar voor: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: meerdere kwetsbaarheden in vim 7.0

    • Beschrijving: er zijn meerdere kwetsbaarheden in vim 7.0, waarvan de meest ernstige kan leiden tot het uitvoeren van willekeurige code bij gebruik van kwaadwillig vervaardigde bestanden. Deze update verhelpt deze problemen door de app bij te werken naar vim 7.2.0.22. Je kunt meer informatie vinden op de website van vim op http://www.vim.org/

  • Weblog

    • CVE-ID: CVE-2008-4215

    • Beschikbaar voor: Mac OS X Server v10.4.11

    • Impact: toegangscontrole op weblogberichten wordt wellicht niet uitgevoerd

    • Beschrijving: er treedt een niet-gecontroleerde foutsituatie op de weblogserver op. Het toevoegen van een gebruiker met meerdere korte namen op de toegangscontrolelijst voor een weblogbericht kan als gevolg hebben dat de weblogserver de toegangscontrole niet uitvoert. Dit probleem is verholpen door de manier waarop toegangscontrolelijsten worden opgeslagen te verbeteren. Dit probleem heeft alleen invloed op systemen met Mac OS X Server v10.4. Met dank aan Apple.

Publicatiedatum: