Apple beveiligingsupdates (augustus 2003 en ouder)

Dit artikel biedt een overzicht van beveiligingsupdates voor Apple producten. Opmerking: ter bescherming van haar klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn.

Belangrijk: dit document beschrijft updates en releases van augustus 2003 (2003-08) en eerder, zoals Mac OS X 10.1, 10.2, 10.2.6 en beveiligingsupdate 2003-08-14. Raadpleeg een van deze documenten voor informatie over nieuwere beveiligingsupdates:

• Apple-beveiligingsupdates (25 januari 2005 en later)

• Apple-beveiligingsupdates (3 oktober 2003 tot 11 januari 2005)

Mac OS X downloaden

Informatie over het downloaden van Mac OS X is te vinden op de Mac OS X-website (http://www.apple.com/macosx/).

Informatie over het downloaden van Mac OS X Server is te vinden op de Mac OS X Server-website (http://www.apple.com/macosx/server/).

Informatie over de Apple Product Security PGP-sleutel is beschikbaar in technisch document 25314, "De Apple Product Security PGP-sleutel gebruiken".

Software-updates zijn beschikbaar via:

• De software-updatevoorkeuren

• Apple-downloads (http://www.apple.com/swupdates/)

Beveiligingsupdates: 2003-08 en eerder

Beveiligingsupdates worden hieronder vermeld op basis van de softwareversie waarin ze voor het eerst zijn verschenen. Waar mogelijk worden CVE-ID's (http://cve.mitre.org/cve/) als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg technisch document 61798, "Apple-beveiligingsupdates" voor informatie over nieuwere beveiligingsupdates.

Beveiligingsupdate 2003-08-14

• fb_realpath(): behandeld CAN-2003-0466, een potentiële kwetsbaarheid in de functie fb_realpath(), specifiek in de FTPServer- en Libc-projecten, waardoor een lokale of externe gebruiker ongeautoriseerde hoofdrechten op een systeem kan krijgen.

Beveiligingsupdate 2003-07-23

• Oplossing voor CAN-2003-0601 op om de beveiliging van uw systeem te verbeteren door een "uitgeschakeld" wachtwoord toe te wijzen aan een nieuw account dat is gemaakt door Workgroup Manager totdat dat account voor de eerste keer is opgeslagen. Dit zorgt ervoor dat onbevoegden geen toegang kunnen krijgen tot het nieuwe account.

Beveiligingsupdate 2003-07-14

• Wachtwoord voor schermeffecten: oplossing voor CAN-2003-0518, een potentiële kwetsbaarheid wanneer een wachtwoord vereist is bij het ontwaken uit de functie Schermeffecten-functie, waardoor een onbevoegde gebruiker toegang kan krijgen tot het bureaublad van de aangemelde ingelogde gebruiker. Met dank aan Denis Ahrens voor het melden van dit probleem.

Beveiligingsupdate 2003-06-12 (alleen Mac OS X Server)

• Apache 2.0: oplossing voor CAN-2003-0245 door Apache 2.0.45 bij te werken naar 2.0.46 om een beveiligingslek in de module mod_dav op te lossen dat op extern kan worden misbruikt waardoor een Apache-webserverproces vastloopt. Apache 1.3 wordt niet beïnvloed en is de primaire webserver in Mac OS X Server. Apache 2.0 wordt geïnstalleerd met Mac OS X Server, maar staat standaard uit.

• dsimportexport: oplossing voor CAN-2003-0420 waarbij een ingelogde gebruiker mogelijk de naam en het wachtwoord kon zien van het account waarop het hulpprogramma dsimportexport werd uitgevoerd

Beveiligingsupdate 2003-06-09 (versie 2.0)

• AFP: oplossing voor CAN-2003-0379. Wanneer Apple File Service (AFP Server) in Mac OS X Server bestanden serveert op een UFS- of opnieuw gedeeld NFS-volume, is er een potentiële kwetsbaarheid waardoor een externe gebruiker willekeurige bestanden kan overschrijven.

• Directory Services: oplossing voor CAN-2003-0378. Bij het inloggen via Kerberos op een LDAPv3-server kan het accountwachtwoord in niet-versleutelde tekstindeling worden verstuurd wanneer Login Window terugvalt op het proberen van een eenvoudige binding op de server.

Safari 1.0 Beta 2 (v74)

• Oplossing voor CAN-2003-0355 waarbij Safari het Common Name-veld op X.509-certificaten niet valideert. Informatis is beschikbaar op (http://www.securityfocus.com/archive/1/320707).

• De nieuwste Safari-versie is beschikbaar op (http://www.apple.com/safari/).

Mac OS X 10.2.6

• IPSec: oplossing voor CAN-2003-0242, waarbij inkomend beveiligingsbeleid dat overeenkomt op poort niet overeenkomt met het juiste verkeer.

Mac OS X 10.2.5

• Apache 2.0: oplossing voor CAN-2003-0132, een kwetsbaarheid voor denial of service in Apache 2.0--versie tot en met 2.0.44. Apache 2.0 wordt alleen gedistribueerd met Mac OS X Server en is niet standaard ingeschakeld.

• Directory Services: oplossing voor CAN-2003-0171, escalatie van DirectoryServices-rechten en DoS-aanval. DirectoryServices maakt deel uit van het informatiesysteem van Mac OS X en Mac OS X Server. Het wordt gestart bij het opstarten, setuid root en standaard geïnstalleerd. Het is mogelijk voor een lokale aanvaller om een omgevingsvariabele aan te passen waardoor willekeurige opdrachten als root kunnen worden uitgevoerd. Met dank aan Dave G. van @stake, Inc. voor de ontdekking van deze kwetsbaarheid.

• File Sharing/Service: oplossing voor CAN-2003-0198 waarbij de inhoud van de DropBox-map met alleen lezen kan worden onthuld. Indien ingeschakeld, is Persoonlijke bestandsdeling in Mac OS X of Apple File Service in Mac OS X Server standaard een "DropBox"-map beschikbaar zodat mensen bestanden kunnen toevoegen. Met deze update kunnen de rechten van de map "DropBox" niet meer worden gewijzigd door een gast.

• OpenSSL: oplossing voor CAN-2003-0131, Klima-Pokorny-Rosa-aanval op PKCS #1 v1.5 opvulling. De patch van het OpenSSL-team, die deze kwetsbaarheid behandeld, wordt toegepast in Mac OS X en Mac OS X Server.

• Samba: oplossing voor CAN-2003-0201, waardoor een anonieme gebruiker externe roottoegang kan krijgen door een bufferoverloop. De ingebouwde Windows-bestandsdeling is gebaseerd op de opensourcetechnologie Samba en is standaard uitgeschakeld in Mac OS X.

• sendmail: oplossing voor CAN-2003-0161, waar de adresparseercode in sendmail de lengte van e-mailadressen niet voldoende controleert. Alleen de patch van het sendmail-team wordt toegepast op de huidige versie van sendmail in Mac OS X en Mac OS X Server.

QuickTime 6.1 voor Windows

• Oplossing voor CAN-2003-0168, een potentiële kwetsbaarheid in QuickTime Player voor Windows waardoor een externe aanvaller een doelsysteem kan compromitteren. Deze aanval is enkel mogelijk als de aanvaller een gebruiker kan overtuigen om een speciaal vervaardigde QuickTime-URL te laden. Bij een geslaagde aanval kan code willekeurig uitgevoerd worden onder de rechten van de QuickTime-gebruiker.

Beveiligingsupdate 2003-03-24

• Samba: oplossing voor CAN-2003-0085 en CAN-2003-0086 waardoor onbevoegden extern toegang hebben tot het hostsysteem. De ingebouwde Windows-bestandsdeling is gebaseerd op de opensourcetechnologie genaamd Samba en is standaard uitgeschakeld in Mac OS X. Deze update past alleen de beveiligingsfixes toe op de huidige versie 2.2.3 van Samba in Mac OS X 10.2.4. De Samba-versie is verder ongewijzigd.

• OpenSSL: oplossing voorCAN-2003-0147, om een probleem te behandelen waarbij RSA-privésleutels gecompromitteerd kunnen worden bij communicatie via LAN, Internet2/Abilene en communicatie tussen processen op lokale machines.

Beveiligingsupdate 2003-03-03

• Sendmail: oplossing voor CAN-2002-1337 waarbij een externe aanvaller verhoogde rechten kan krijgen op getroffen hosts. Sendmail is niet standaard ingeschakeld in Mac OS X, dus alleen systemen die sendmail expliciet hebben ingeschakeld zijn kwetsbaar. Alle Mac OS X-gebruikers wordt echter aangeraden deze update uit te voeren. De oplossing voor sendmail is beschikbaar in beveiligingsupdate 2003-03-03.

• OpenSSL: oplossing voor CAN-2003-0078, waarbij het theoretisch mogelijk is voor een derde om de originele niet-versleutelde tekst te extraheren van versleutelde berichten die over een netwerk worden verstuurd. Beveiligingsupdate 2003-03-03 past deze oplossing toe voor Mac OS X 10.2.4. Klanten met een oudere versie van Mac OS X kunnen de nieuwste openssl-versie rechtstreeks downloaden op de OpenSSL-website: http://www.openssl.org/

Mac OS X 10.2.4 (client)

• Sendmail: oplossing voor CAN-2002-0906, bufferoverloop in Sendmail voor 8.12.5, wanneer geconfigureerd om een aangepaste DNS-map te gebruiken om TXT-records op te vragen, kan een denial-of-service-aanval en mogelijk de uitvoering van willekeurige code mogelijk maken. Mac OS X 10.2.4 bevat Sendmail 8.12.6 met de SMRSH-oplossing toegepast om ook CAN-2002-1165 aan te pakken.

• AFP: oplossing voor CAN-2003-0049, "AFP-inlogrechten voor de systeembeheerder". Biedt een optie waarbij een systeembeheerder wel of niet mag inloggen als gebruiker, waarbij deze zich authenticeert via zijn beheerderswachtwoord. Voorheen konden beheerders altijd inloggen als gebruiker, waarbij ze zich authenticeerden via hun eigen beheerderswachtwoord.

• Classic: oplossing voor CAN-2003-0088, waarbij een aanvaller een omgevingsvariabele kan wijzigen om willekeurige bestanden te maken of bestaande bestanden te overschrijven, wat kan leiden tot het verkrijgen van verhoogde rechten. Met dank aan Dave G. van @stake, Inc. voor het ontdekken van dit probleem.

• Samba: vorige releases van Mac OS X zijn niet kwetsbaar voor CAN-2002-1318, een probleem in de lengtecontrole van Samba voor wijzigingen van versleutelde wachtwoorden. Mac OS X gebruikt momenteel Directory Services voor authenticatie en roept de kwetsbare Samba-functie niet aan. Om echter een mogelijke toekomstige aanval via deze functie te voorkomen, is de patch van Samba 2.2.7 toegepast, hoewel de versie van Samba niet is gewijzigd voor deze updaterelease. Meer informatie is beschikbaar op: http://samba.org/

Mac OS X 10.2.4 Server

• QuickTime Streaming Server: oplossing voor CAN-2003-0050, willekeurig uitvoering van QTSS-opdrachten. De QuickTime Streaming Administration Server vertrouwt op het programma parse_xml.cgi voor authenticatie en de interface met de gebruiker. Deze CGI kan ongeldige invoer doorgeven waardoor een externe aanvaller willekeurige code op de server kan uitvoeren en basisrechten kan krijgen. Met dank aan Dave G. van @stake, Inc. voor het vinden van deze kwetsbaarheid.

• QuickTime Streaming Server: oplossing voor CAN-2003-0051, onthulling fysieke QTSS-paden. De QuickTime Streaming Administration Server vertrouwt op het programma parse_xml.cgi voor authenticatie en de interface met de gebruiker. Deze CGI kan worden gebruikt om het fysieke pad te onthullen waarop de Darwin/Quicktime Administration Servers zijn geïnstalleerd. Met dank aan @stake, Inc. voor het vinden van deze kwetsbaarheid.

• QuickTime Streaming Server: oplossing voor CAN-2003-0052, QTSS-mapvermeldingen. De QuickTime Streaming Administration Server vertrouwt op het programma parse_xml.cgi voor authenticatie en de interface met de gebruiker. Deze CGI kan worden gebruikt om willekeurige directoryvermeldingen te onthullen door het ontbreken van validatie van de invoer door de gebruiker binnen het programma. Met dank aan Ollie Whitehouse van @stake, Inc. voor het vinden van deze kwetsbaarheid.

• QuickTime Streaming Server: oplossing voor CAN-2003-0053, QTSS-inloggegevens. De QuickTime Streaming Administration Server vertrouwt op het programma parse_xml.cgi voor authenticatie en de interface met de gebruiker. Een kwetsbaarheid in de verwerking van foutmeldingen van deze CGI kan worden gebruikt in een cross-site-scripting-aanval om geldige inloggegevens te verkrijgen. Met dank aan Ollie Whitehouse van @stake, Inc. voor het vinden van deze kwetsbaarheid.

• QuickTime Streaming Server: oplossing voor CAN-2003-0054, uitvoeren van willekeurige opdrachten bij het bekijken van QTSS-logboeken. Als een niet-geauthenticeerde gebruiker van QuickTime Streaming Server een verzoek indient bij de streamingpoort, wordt het verzoek naar het logbestand geschreven. Het is mogelijk om het verzoek zo te maken dat willekeurige code kan worden uitgevoerd wanneer de logboeken worden bekeken door de systeembeheerder via een browser. Met dank aan Ollie Whitehouse van @stake, Inc. voor het vinden van deze kwetsbaarheid.

• QuickTime Streaming Server: oplossing voor CAN-2003-0055, bufferoverloop in MP3 Broadcast-programma. Er is een bufferoverloop in het stand-alone MP3Broadcaster-programma. Een MP3-bestand met een bestandsnaam van meer dan 256 bytes veroorzaakt een bufferoverloop. Dit kan gebruikt worden door lokale/ftp-gebruikers om verhoogde rechten te verkrijgen. Met dank aan Ollie Whitehouse van @stake, Inc. voor het vinden van deze kwetsbaarheid.

• Sendmail: oplossing voor CAN-2002-0906, bufferoverloop in Sendmail voor 8.12.5, wanneer geconfigureerd om een aangepaste DNS-map te gebruiken om TXT-records op te vragen, kan een denial-of-service-aanval en mogelijk de uitvoering van willekeurige code mogelijk maken. Mac OS X 10.2.4 bevat Sendmail 8.12.6 met de SMRSH-oplossing toegepast om ook CAN-2002-1165 aan te pakken.

• AFP: oplossing voor CAN-2003-0049, "AFP-inlogrechten voor de systeembeheerder". Biedt een optie waarbij een systeembeheerder wel of niet mag inloggen als gebruiker, waarbij deze zich authenticeert via zijn beheerderswachtwoord. Voorheen konden beheerders altijd inloggen als gebruiker, waarbij ze zich authenticeerden via hun eigen beheerderswachtwoord.

• Classic: oplossing voor CAN-2003-0088, waarbij een aanvaller een omgevingsvariabele kan wijzigen om willekeurige bestanden te maken of bestaande bestanden te overschrijven, wat kan leiden tot het verkrijgen van verhoogde rechten. Met dank aan Dave G. van @stake, Inc. voor het ontdekken van dit probleem.

• Samba: vorige releases van Mac OS X zijn niet kwetsbaar voor CAN-2002-1318, een probleem in de lengtecontrole van Samba voor wijzigingen van versleutelde wachtwoorden. Mac OS X gebruikt momenteel Directory Services voor authenticatie en roept de kwetsbare Samba-functie niet aan. Om echter een mogelijke toekomstige aanval via deze functie te voorkomen, is de patch van Samba 2.2.7 toegepast, hoewel de versie van Samba niet is gewijzigd voor deze updaterelease. Meer informatie is beschikbaar op: http://samba.org/

• Integrated WebDAV Digest Authentication: de Apache-module mod_digest_apple is toegevoegd om gemakkelijker samenvattingsverificatie in te schakelen voor een bestaande WebDAV-realm. Hierdoor is het niet meer nodig om een apart samenvattingsbestand bij te houden met de lijst van geautoriseerde gebruikers, wachtwoorden en realms. mod_digest_apple werkt in coördinatie met Open Directory voor gebruikersauthenticatie. Voor meer informatie opent u de Help Viewer na de installatie van Mac OS X Server-versie 10.2.4, selecteert u Mac OS X Server-help in de lade en zoekt u naar "Nieuw: geïntegreerde WebDAV Digest Authentication inschakelen"

Mac OS X 10.2.3

• fetchmail: oplossing voor CAN-2002-1174 en CAN-2002-1175, die kunnen leiden tot een potentiële denial of service bij gebruik van het opdrachtregelhulpprogramma voor fetchmail. fetchmail is bijgewerkt naar versie 6.1.2+IMAP-GSS+SSL+INET6

• CUPS: biedt oplossingen voor de volgende potentiële problemen die externe kunnen worden uitgebuit wanneer Printer delen is ingeschakeld. Printer delen is standaard niet ingeschakeld in Mac OS X of Mac OS X Server.

• CAN-2002-1383: meervoudige overloop van gehele getallen

• CAN-2002-1366: racevoorwaarde /etc/cups/certs/

• CAN-2002-1367: printers toevoegen met UDP-pakketten

• CAN-2002-1368: aanroepen van Memcpy() met negatieve lengte

• CAN-2002-1384: overloop van gehele getallen in pdftops Filter en Xpdf

• CAN-2002-1369: onveilige aanroep Strncat-functie in jobs.c

• CAN-2002-1370: ontwerpfout basiscertificaat

• CAN-2002-1371: afbeeldingen met nul breedte in filters/image-gif.c

• CAN-2002-1372: lekken bron bestandsdescriptor

Beveiligingsupdate 2002-11-21

BIND: bijgewerkt naar versie 8.3.4 om mogelijke kwetsbaarheden op te lossen in de domeinserver- en clientbibliotheek van Internet Software Consortium (ISC) die wordt meegeleverd met Mac OS X en Mac OS X Server. BIND is standaard niet ingeschakeld in Mac OS X of Mac OS X Server.

CVE-ID's: CAN-2002-1219, CAN-2002-1220, CAN-2002-1221, CAN-2002-0029

Meer informatie is beschikbaar op:http://www.cert.org/advisories/CA-2002-31.htmlhttp://www.kb.cert.org/vuls/id/457875

Mac OS X 10.2.2Met deze update worden de volgende potentiële beveiligingskwetsbaarheden behandeld:

• CAN-2002-1266: verhoging van rechtehn voor lokale gebruiker via schijfkopiebestand Het is mogelijk voor een lokale gebruiker om verhoogde rechten te verkrijgen op een systeem door een schijfkopiebestand te openen dat werd gemaakt op een andere computer met beheerdersrechten.

• CAN-2002-0830: dit is FreeBSD-SA-02:36.nfs,, een potentiële kwetsbaarheid in het Network File System (NFS) waardoor een externe aanvaller een denial of service kan veroorzaken.

• IP Firewall: onder bepaalde omstandigheden kan de in Mac OS X ingebouwde ipfw-firewall pakketten blokkeren die expliciet zijn toegestaan door de firewallregels. Dit voldoet niet aan de formele vereisten van een beveiligingskwetsbaarheid en krijgt geen CVE-ID.

• CAN-2002-1267: CUPS Printing Web Administration is exterm toegankelijk Een kwaadwillende gebruiker kan toegang krijgen tot de poort om het hulpprogramma CUPS Printing Web Administration uit te voeren. Het is vervolgen mogelijk om een denial of service naar een printer te veroorzaken.

• CAN-2002-1268: verhoogde rechten voor gebruikers via het aankoppelen van een ISO 9600 CD Gebruikers konden verhoogde rechten krijgen wanneer ze inlogden op een systeem waarop een ISO 9600 CD beschikbaar was voor het bestandssysteem.

• CAN-2002-1269: NetInfo Manager-programma kan toegang tot bestandssysteem toestaan Een beveiligingslek in het NetInfo Manager-programma kan een kwaadwillende gebruiker toestaan om door het bestandssysteem te navigeren.

• CAN-2002-1270: map_fd() Mach-systeemaanroep kan toestaan dat een bestand wordt gelezen De map_fd() Mach-systeemaanroep kan een aanroeper toestaan een bestand te lezen waarvoor deze alleen schrijftoegang heeft.

• CAN-2002-1265: TCP-probleem in RPC De RPC-gebaseerde libc-implementatie kan gegevens van TCP-verbindingen niet goed lezen. Hierdoor kan een externe aanvaller de service aan systeemdaemons weigeren. Meer informatie is beschikbaar in CERT VU#266817 op: http://www.kb.cert.org/vuls/id/266817

• CAN-2002-0839, CAN-2002-0840, CAN-2002-0843: Apache Apache is bijgewerkt naar versie 1.3.27 om een aantal problemen te behandelen.

Mac OS X Server 10.2.2

• Bevat alle beveiligingsoplossingen die zijn vermeld in Mac OS X 10.2.2, plus CAN-2002-0661, CAN-2002-0654, CAN-2002-0654: Apache 2 Apache 2 wordt geleverd bij Mac OS X Server, maar is niet standaard ingeschakeld. De versie is bijgewerkt naar Apache 2.0.42 om een aantal problemen te behandelen.

StuffIt Expander-beveiligingsupdate 2002-10-15

• Stuffit Expander: CAN-2002-0370. Deze update verhelpt een potentiële beveiligingskwetsbaarheid in versie 6.5.2 en eerder van Stuffit Expander. Meer informatie is beschikbaar op: http://www.kb.cert.org/vuls/id/383779 .

Beveiligingsupdate 2002-09-20

• Terminal: Deze update verhelpt een potentiële kwetsbaarheid dat werd geïntroduceerd in Terminal-versie 1.3 (v81) die werd geleverd met Mac OS X 10.2. Hierdoor kan een externe aanvaller willekeurige opdrachten uitvoeren op het systeem van de gebruiker. Terminal is bijgewerkt naar versie 1.3.1 (v82) met deze beveiligingsupdate.

Beveiligingsupdate 2002-08-23

• Deze beveiligingsupdate is voor Mac OS X 10.2 en past de oplossingen toe die zijn opgenomen in beveiligingsupdate 2002-08-02 voor Mac OS X 10.1.5.

Beveiligingsupdate 2002-08-20

• Beveiligd transport: deze update verbetert de certificaatverificatie in OS X en is nu volledig in overeenstemming met het Internet X.509 Public Key Infrastructure Certificate and CRL Profile (RFC2459).

Beveiligingsupdate 2002-08-02

Deze update behandelt de volgende beveiligingskwetsbaarheden, die van invloed zijn op de huidige versies van Mac OS X Server. Deze services zijn standaard uitgeschakeld in clients met Mac OS X, maar als deze services zijn ingeschakeld, wordt de client kwetsbaar. Gebruikers van een client met Mac OS X moeten deze update ook installeren.

• OpenSSL: oplossing voor beveiligingskwetsbaarheden CAN-2002-0656, CAN-2002-0657, CAN-2002-0655 en CAN-2002-0659. Informatie is beschikbaar op: http://www.cert.org/advisories/CA-2002-23.html

• mod_ssl: oplossing voor CAN-2002-0653, een off-by-one bufferoverloop in Apache-module mod_ssl. Informatie is beschikbaar op: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0653

• Sun RPC: oplossing voor CAN-2002-039, een bufferoverloop in de Sun RPC XDR-decoder. Informatie is beschikbaar op: http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20823

Beveiligingsupdate 7-18-02 (2002-07-18)

• Software-update: bevat Software-update-client 1.4.7 die cryptografische handtekeningverificatie toevoegt aan het opdrachtregelhulprogramma van de software-update. Dit biedt een extra manier om software-updates op een veilige manier uit te voeren, naast de bestaande Software-update-mogelijkheid in Systeemvoorkeuren.

Beveiligingsupdate 7-12-02 (2002-07-12)

• Software-update: oplossing voor CVE-ID CAN-2002-0676 om de beveiliging van het Software-update-proces te verbeteren voor systemen met Software-update-client 1.4.5 of ouder. Pakketten die worden aangeboden via het Software-update-mechanisme zijn nu cryptografisch ondertekend en de nieuwe Software-update-client 1.4.6 controleert op een geldige handtekening voordat nieuwe pakketten worden geïnstalleerd.

Beveiligingsupdate juli 2002 (2002-07)

• Apache: oplossing voor CVE-ID CAN-2002-0392 waardoor externe aanvallers een denial of service kunnen veroorzaken en mogelijk willekeurige code kunnen uitvoeren. Meer informatie is beschikbaar op: http://www.cert.org/advisories/CA-2002-17.html

• OpenSSH: oplossing voor twee kwetsbaarheden, CAN-2002-0639 en CAN-2002-0640, waarbij een externe indringer willekeurige code kan uitvoeren op het lokale systeem. Meer informatie is beschikbaar op: http://www.cert.org/advisories/CA-2002-18.html

Mac OS X 10.1.5

• sudo - oplossing voor CAN-2002-0184, waar een heapoverloop in sudo lokale gebruikers in staat kan stellen basisrechten te verkrijgen via speciale tekens in het argument -p (prompt).

• sendmail - oplossing voor CVE-2001-0653, waar een validatie-invoerfout bestaat in de debugfunctionaliteit van Sendmail, wat kan leiden tot een compromittering van het systeem.

Internet Explorer 5.1-beveiligingsupdate (2002-04)

• Dit behandeld een kwetsbaarheid waardoor een aanvaller uw computer kan overnemen. Microsoft heeft sindsdien de ondersteuning en ontwikkeling van Internet Explorer voor Mac stopgezet. Overweeg om in plaats daarvan te upgraden naar Safari.

Mac OS X 10.1.4

• TCP/IP-broadcast: behandeld CAN-2002-0381, zodat TCP/IP-verbindingen nu broadcast of multicast IP-bestemmingsadressen controleren en blokkeren. Meer informatie op: http://www.FreeBSD.org/cgi/query-pr.cgi?pr=35022

Beveiligingsupdate - april 2002 (2002-04)

• Apache - bijgewerkt naar versie 1.3.23 om de oplossing mod_ssl op te nemen.

• Apache Mod_SSL - bijgewerkt naar versie 2.8.7-1.3.23 om de bufferoverloopkwetsbaarheid CAN-2002-0082 te behandelen die mogelijk kan worden gebruikt om willekeurige code uit te voeren. Meer informatie op: http://archives.neohapsis.com/archives/bugtraq/2002-02/0313.html

• groff - bijgewerkt naar versie 1.17.2 om de kwetsbaarheid CAN-2002-0003 te behandelen, waarbij een externe aanvaller kan verkrijgen als de "lp"-gebruiker. Meer informatie op: http://online.securityfocus.com/advisories/3859

• mail_cmds - bijgewerkt om een kwetsbaarheid op te lossen waarbij gebruikers kunnen worden toegevoegd aan de e-mailgroep

• OpenSSH - bijgewerkt naar versie 3.1p1 om de kwetsbaarheid CAN-2002-0083 te behandelen, waarbij een aanvaller de inhoud van het geheugen kan beïnvloeden. Meer informatie op: http://www.pine.nl/advisories/pine-cert-20020301.html

• PHP - bijgewerkt naar versie 4.1.2 om de kwetsbaarheid CAN-2002-0081 op te lossen, waarbij een indringer willekeurige code kan uitvoeren met de rechten van de webserver. Meer informatie op: http://www.cert.org/advisories/CA-2002-05.html

• rsync - bijgewerkt naar versie 2.5.2 om de kwetsbaarheid CAN-2002-0048 op te lossen, die kan leiden tot corruptie van de stack en mogelijk tot het uitvoeren van willekeurige code als de hoofdgebruiker. Meer informatie op: ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:10.rsync.asc

• sudo - bijgewerkt naar versie 1.6.5p2 om de kwetsbaarheid CAN-2002-0043 op te lossen, waarbij een lokale gebruiker superuser-rechten kan krijgen. Meer informatie op: ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:06.sudo.asc

Mac OS X 10.1.3

• openssh - bijgewerkt naar versie 3.0.2p1 om verschillende kwetsbaarheden in de vorige versie te behandelen. Voor meer informatie zie: http://www.openssh.com/security.html

• WebDAV - De samenvattingsverificatiemodus uitgebreid voor werking met extra servers

Mac OS X 10.1-beveiligingsupdate 10-19-01 (2001-10-19)

• Oplossing voor de kwetsbaarheid beschreven in http://www.stepwise.com/Articles/Admin/2001-10-15.01.html waarbij een programma basistoegangsrechten kan verkrijgen.

Internet Explorer 5.1.1

• IE 5.1.1 - oplossing voor een probleem met IE 5.1 dat is meegeleverd met Mac OS X v10.1 waarbij Internet Explorer gedownloade software automatisch uitvoert, wat kan leiden tot gegevensverlies of andere schade. Meer informatie is beschikbaar in technisch document 106503, "Mac OS X 10.1: Internet Explorer voert gedownloade software automatisch uit".

Mac OS X 10.1

• crontab - oplossing voor de kwetsbaarheid beschreven in FreeBSD-SA-01:09 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:09.crontab.v1.1.asc) waar lokale gebruikers willekeurige lokale bestanden kunnen lezen die voldoen aan een geldige cronta bestandssyntaxis.

• fetchmail

• Oplossing voor de bufferoverloopkwetsbaarheid beschreven in FreeBSD-SA-01:43 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:43.fetchmail.asc)

• Oplossing voor het probleem met de grote kopsteksten beschreven in BugTraq MDKSA-2001:063: fetchmail (http://www.securityfocus.com/advisories/3426)

• Oplossing voor de kwetsbaarheid waarbij het geheugen wordt overschreven beschreven in BugTraq ESA-20010816-01: fetchmail-ssl (http://www.securityfocus.com/advisories/3502)

• ipfw - oplossing voor de kwetsbaarheid beschreven in FreeBSD-SA-01:08.ipfw (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:08.ipfw.asc) waarbij een externe aanval kan worden geconstrueerd met TCP-pakketten waarbij de ECE-vlag is ingesteld.

• java - oplossing voor de kwetsbaarheid beschreven in:http://sunsolve.Sun.COM/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/216&type=0&nav=sec.sbl&ttl=sec.sbl waarbij een niet-vertrouwde applet verzoeken aan en antwoorden van een HTTP-proxyserver kan monitoren.

• open() syscall - oplossing voor de kwetsbaarheid beschreven in FreeBSD-SA-97:05.open (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/old/FreeBSD-SA-97:05.open.asc) waarbij een andere gebruiker op het systeem ongeoorloofde I/O-instructies kan uitvoeren

• OpenSSL - inclusief versie 0.9.6b die een aantal oplossingen bevat ten opzichte van de vorige versie. Zie http://www.openssl.org/ voor meer informatie.

• procmail - oplossing voor de kwetsbaarheid beschreven in Red Hat RHSA-2001:093-03 (http://www.redhat.com/support/errata/RHSA-2001-093.html) waar signalen niet correct worden verwerkt.

• rwhod - oplossing voor de kwetsbaarheid beschreven in FreeBSD-SA-01:29.rwhod (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:29.rwhod.asc) waarbij externe gebruikers de rwhod-daemon kunnen laten crashen waardoor clients geen services meer kunnen uitvoeren.

• setlocale() tekenreeksoverloop - oplossing voor de kwetsbaarheid beschreven in FreeBSD-SA-97:01.setlocale (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/old/FreeBSD-SA-97:01.setlocale) waarbij de aanroep setlocale() een aantal potentiële aanvallen bevat via tekeneeksoverlopen tijdens de uitbreiding van omgevingsvariabelen

• sort - oplossing voor de kwetsbaarheid beschreven in CERT Vulnerability Note VU#417216 (http://www.kb.cert.org/vuls/id/417216) waarbij een indringer de werking van systeembeheerprogramma's kan blokkeren door het sorteerhulpprogramma te laten crashen.

• systeemklembord / J2SE - oplossing voor een beveiligingsprobleem waardoor niet-geautoriseerde applets toegang hadden tot het systeemklembord.

• tcpdump - oplossing voor de kwetsbaarheid beschreven in FreeBSD-SA-01:48 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:48.tcpdump.asc) waarbij externe gebruikers het lokale tcpdump-proces kunnen laten crashen en willekeurige code kunnen uitvoeren.

• TCP Initial Sequence Numbers - oplossing voor de kwetsbaarheid beschreven in FreeBSD-SA-00:52 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-00:52.tcp-iss.asc) waarbij het algoritme om het nummer te genereren dat het systeem gebruikt voor de volgende inkomende TCP-verbinding niet voldoende willekeurig is

• tcsh '>>' operator - oplossing voor de kwetsbaarheid beschreven in FreeBSD-SA-00:76 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-00:76.tcsh-csh.asc) waarbij lokale gebruikers zonder rechten ervoor kunnen zorgen dat een willekeurig bestand wordt overschreven wanneer iemand anders de operator "<<" aanroept in tsch (bijvoorbeeld vanuit een shellscript)

• telnetd - oplossing voor de kwetsbaarheid beschreven in FreeBSD-SA-01:49 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:49.telnetd.v1.1.asc) waarbij externe gebruikers willekeurige code kunnen uitvoeren als de gebruiker die telnetd uitvoert.

• timed - oplossing voor de kwetsbaarheid beschreven in FreeBSD-SA-01:28 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:28.timed.asc) waarbij externe gebruikers de timed daemon kunnen laten crashen waardoor clients geen services meer kunnen uitvoeren.

Mac OS X Server 10.1

• MySQL 3.23.42 - bevat een aantal oplossingen ten opzichte van de vorige versie. Zie sectie 3.23.42 op de MySQL-site (http://www.mysql.com/downloads/mysql-3.23.html) voor informatie.

• Tomcat 3.2.3 - bevat een aantal oplossingen ten opzichte van de vorige versie. Zie de Tomcat-site (http://jakarta.apache.org/tomcat/) voor informatie.

• Apache - oplossing voor de kwetsbaarheid .DS_Store file beschreven in http://securityfocus.com/bid/3324

• Apache - mogelijke kwetsbaarheid opgelost waarbij .htaccess-bestanden zichtbaar kunnen zijn voor webbrowsers als ze zijn gemaakt op HFS+-volumes. De bestandsrichtlijn in het bestand http.conf is aangepast om de zichtbaarheid voor webbrowsers te blokkeren van alle bestanden waarvan de naam begint met .ht, ongeacht het gebruik van hoofdletters en kleine letters.

Mac OS X Web Sharing Update 1.0

• Apache 1.3.19 - oplossing voor beveiligingsproblemen met sites die de module massaal virtueel hosten mod_vhost_alias of mod_rewrite gebruiken.

• mod_hfs_apple - behandeld problemen met de gevoeligheid van hoofdletters en kleine letters van Apache in Mac OS Extended-volumes (HFS+).

• OpenSSH 2.9p2 - oplossing voor SSH1-kwetsbaarheid beschreven in http://www.openwall.com/advisories/OW-003-ssh-traffic-analysis.txt.

• sudo - oplossing voor de bufferoverloopkwetsbaarheid beschreven in FreeBSD-SA-01:38 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:38.sudo.asc)

Mac OS X 10.0.4 Server Update

• Samba 2.0.9 - behandeld de macrokwetsbaarheid beschreven in us1.samba.org/samba/whatsnew/macroexploit.html

• sudo - oplossing voor de bufferoverloopkwetsbaarheid beschreven in FreeBSD-SA-01:38 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:38.sudo.asc)

Mac OS X 10.0.2

• FTP - oplossing voor de File Globbing-kwetsbaarheid beschreven in CERT(R) Advisory CA-2001-07 (http://www.cert.org/advisories/CA-2001-07.html)

• NTP - oplossing voor de bufferoverloopkwetsbaarheid beschreven in FreeBSD-SA-01:31 (ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:31.ntpd.asc)

Mac OS X 10.0.1

• OpenSSH-2.3.0p1 - SSH-services zijn ingeschakeld via het deelvenster Delen in Systeemvoorkeuren

Mac OS Runtime voor Java (MRJ) 2.2.5

• MRJ 2.2.5 - oplossing voor een beveiligingsprobleem waardoor niet-geautoriseerde applets toegang hadden tot het systeemklembord.