Apple beveiligingsupdates (3 okt 2003 tot 11 jan 2005)

In dit document worden de beveiligingsupdates voor Apple producten beschreven die zijn uitgegeven tussen 3 oktober 2003 en 11 januari 2005.

Belangrijk: Raadpleeg Apple beveiligingsupdates voor meer informatie over latere (nieuwere) beveiligingsupdates.

Raadpleeg Apple beveiligingsupdates: augustus 2003 en eerder voor informatie over eerdere beveiligingsupdates.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Raadpleeg de website Product Security Incident Response van Apple, Inc. voor meer informatie over Apple Product Security.

Apple Product Security PGP-sleutel

Raadpleeg De Apple Product Security PGP-sleutel gebruiken voor meer informatie.

Beveiligingsupdates

Beveiligingsupdates worden hieronder vermeld op basis van de softwareversie waarin ze voor het eerst zijn verschenen. Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

iTunes 4.7.1

Beschikbaar voor: Mac OS X, Microsoft Windows XP, Microsoft Windows 2000

CVE-ID: CAN-2005-0043

Impact: kwaadaardige afspeellijsten kunnen ervoor zorgen dat iTunes crasht en willekeurige code kan uitvoeren.

Beschrijving: iTunes ondersteunt verschillende gangbare afspeellijsten. iTunes 4.7.1 verhelpt een bufferoverloop bij het parseren van m3u- en pls-afspeellijstbestanden, waardoor eerdere versies van iTunes konden crashen en willekeurige code konden uitvoeren. Met dank aan Sean de Regge (seanderegge[at]hotmail.com) voor het ontdekken van dit probleem en aan iDefense Labs voor het melden ervan.

Beveiligingsupdate 02-12-2004

Apache

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-1082

Impact: Apache mod_digest_apple-authenticatie is kwetsbaar voor replay-aanvallen.

Beschrijving: de Mac OS X Server-specifieke mod_digest_Apple is gebaseerd op de mod_digest van Apache. In versies 1.3.31 en 1.3.32 van Apache (CAN-2003-0987) zijn meerdere correcties aangebracht voor een afspeelprobleem in mod_digest. Deze update verhelpt het probleem met het opnieuw afspelen in mod_digest_apple-authenticatie met behulp van de wijzigingen die zijn aangebracht in Apache 1.3.32.

Apache

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8

CVE-ID: CAN-2003-0020, CAN-2003-0987, CAN-2004-0174, CAN-2004-0488, CAN-2004-0492, CAN-2004-0885, CAN-2004-0940

Impact: meerdere kwetsbaarheden in Apache en mod_ssl, waaronder escalatie van lokale bevoegdheden, externe denial of service en in sommige gewijzigde configuraties uitvoering van willekeurige code.

Beschrijving: de Apache Group heeft een aantal kwetsbaarheden tussen versie 1.3.29 en 1.3.33 opgelost. De beveiligingspagina van Apache Group voor Apache 1.3 is te vinden op http://www.apacheweek.com/features/security-13. De eerder geïnstalleerde versie van Apache was 1.3.29. De standaardinstallatie van Apache schakelt mod_ssl niet in. Deze update verhelpt alle toepasselijke problemen door Apache bij te werken naar versie 1.3.33 en de bijbehorende mod_ssl naar versie 2.8.22.

Apache

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-1083

Impact: Apache-configuraties hebben de toegang tot .DS_Store-bestanden of bestanden die beginnen met .ht niet volledig geblokkeerd.

Beschrijving: een standaard Apache-configuratie blokkeert de toegang tot bestanden die beginnen met .ht op een hoofdlettergevoelige manier. Het Apple HFS+-bestandssysteem voert bestandstoegang uit op een niet-hoofdlettergevoelige manier. De Finder kan ook .DS_Store-bestanden maken met de namen van bestanden op locaties die worden gebruikt om webpagina's te bedienen. Deze update wijzigt de Apache-configuratie om de toegang te beperken tot alle bestanden die beginnen met .ht of .DS_S, ongeacht de hoofdletters. Meer...

Apache

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-1084

Impact: bestandsgegevens en inhoud van de bronfork kunnen worden opgehaald via HTTP, waarbij normale Apache-bestandshandlers worden overgeslagen.

Beschrijving: het Apple HFS+-bestandssysteem staat toe dat bestanden meerdere gegevensstreams hebben. Deze gegevensstromen zijn direct toegankelijk met speciale bestandsnamen. Een speciaal vervaardigd HTTP-verzoek kan een Apache-bestandshandler omzeilen en rechtstreeks toegang krijgen tot bestandsgegevens of inhoud van een bronfork. Deze update wijzigt de Apache-configuratie om verzoeken voor bestandsgegevens of inhoud van een bronfork via hun speciale bestandsnamen te weigeren. Raadpleeg dit document voor meer informatie. Met dank aan NetSec voor het melden van dit probleem.

Apache 2

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-0747, CAN-2004-0786, CAN-2004-0751, CAN-2004-0748

Impact: aangepaste Apache 2-configuraties kunnen een escalatie van bevoegdheden voor lokale gebruikers en externe denial of service toestaan.

Beschrijving: een door de klant aangepaste Apache 2-configuratie, waarbij AllowOverride is ingeschakeld, kan een lokale gebruiker toestaan om willekeurige code uit te voeren als de Apache-gebruiker (www). Een niet-aangepaste configuratie is niet kwetsbaar voor dit probleem. Deze update lost ook bugs in Apache op waardoor bepaalde typen verzoeken de server kunnen laten crashen. Apache is bijgewerkt naar versie 2.0.52. Apache 2 wordt alleen geleverd met Mac OS X Server en is standaard uitgeschakeld.

Appkit

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-1081

Impact: tekens die in een beveiligd tekstveld worden ingevoerd, kunnen worden gelezen door andere apps in dezelfde venstersessie.

Beschrijving: in sommige gevallen kan beveiligde invoer niet correct worden ingeschakeld in een beveiligd tekstinvoerveld. Hierdoor kunnen andere apps in dezelfde venstersessie bepaalde invoertekens en toetsenbordgebeurtenissen zien. Invoer om tekstvelden te beveiligen is nu ingeschakeld op een manier om het lekken van toetsinformatie te voorkomen.

Appkit

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-0803, CAN-2004-0804, CAN-2004-0886

Impact: een overloop van gehele getallen en een slechte bereikcontrole in de tiff-verwerking kunnen leiden tot het uitvoeren van willekeurige code of een denial of service.

Beschrijving: fouten in het decoderen van tiff-afbeeldingen kunnen het geheugen overschrijven, rekenfouten veroorzaken die leiden tot een crash of het uitvoeren van willekeurige code toestaan. Deze update verhelpt de problemen bij de verwerking van tiff-afbeeldingen.

Cyrus IMAP

Beschikbaar voor: Mac OS X Server v10.3.6

CVE-ID: CAN-2004-1089

Impact: wanneer Kerberos-authenticatie wordt gebruikt met Cyrus IMAP, kan een geverifieerde gebruiker onbevoegde toegang krijgen tot andere postbussen op hetzelfde systeem.

Beschrijving: bij gebruik van het Kerberos-authenticatiemechanisme met de Cyrus IMAP-server kan een gebruiker van postbus wisselen na authenticatie en toegang krijgen tot andere postbussen op hetzelfde systeem. Deze update koppelt de postbus aan de geverifieerde gebruiker. Dit serverspecifieke probleem is niet aanwezig in Mac OS X Server v10.2.8. Met dank aan johan.gradvall@gothia.se voor het melden van dit probleem.

HIToolbox

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.3.6

CVE-ID: CAN-2004-1085

Impact: gebruikers kunnen apps afsluiten in de kiosk-modus.

Beschrijving: een speciale toetscombinatie stelde gebruikers in staat om het venster geforceerd stoppen weer te geven, zelfs in de kiosk-modus. Deze update blokkeert alle toetscombinaties voor geforceerd stoppen en werken niet in de kioskmodus. Dit probleem is niet aanwezig in Mac OS X v10.2.8 of Mac OS X Server v10.2.8. Met dank aan Glenn Blauvelt van University of Colorado in Boulder voor het melden van dit probleem.

Kerberos

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-0642, CAN-2004-0643, CAN-2004-0644, CAN-2004-0772

Impact: blootstelling aan een mogelijke denial of service wanneer Kerberos-authenticatie wordt gebruikt.

Beschrijving: MIT heeft een nieuwe versie van Kerberos uitgebracht die een denial of service en drie dubbelvrije fouten aanpakt. Mac OS X biedt bescherming tegen dubbelvrije fouten. Deze update past de oplossing toe voor het denial of service-probleem. Als voorzorgsmaatregel zijn de dubbelvrije patches ook toegepast. Met dank aan het MIT Kerberos Development Team voor het melden van dit probleem en het bieden van oplossingen.

Postfix

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.3.6

CVE-ID: CAN-2004-1088

Impact: na de reparatie met CRAM-MD5 kan een externe gebruiker e-mail verzenden zonder de juiste authenticatie uit te voeren.

Beschrijving: servers die na de reparatie CRAM-MD5 gebruiken om afzenders te verifiëren, waren kwetsbaar voor een replay-aanval. In sommige gevallen kunnen de inloggegevens die worden gebruikt om een gebruiker te verifiëren, gedurende een korte periode opnieuw worden gebruikt. Het CRAM-MD5-algoritme dat wordt gebruikt om gebruikers te verifiëren, is bijgewerkt om het venster voor opnieuw afspelen te voorkomen. Dit probleem is niet aanwezig in Mac OS X v10.2.8 of Mac OS X Server v10.2.8. Met dank aan Victor Duchovni van Morgan Stanley voor het melden van dit probleem.

PSNormalizer

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.3.6

CVE-ID: CAN-2004-1086

Impact: een bufferoverloop in PostScript-naar-PDF-conversie kan het uitvoeren van willekeurige code mogelijk maken.

Beschrijving: een bufferoverloop bij de verwerking van PostScript-naar-PDF-conversie kan mogelijk leiden tot het uitvoeren van willekeurige code. Deze update corrigeert de PostScript-naar-PDF-conversiecode om bufferoverloop te voorkomen. Dit probleem is niet aanwezig in Mac OS X v10.2.8 of Mac OS X Server v10.2.8.

QuickTime Streaming Server

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-1123

Impact: speciaal vervaardigde verzoeken kunnen een denial of service veroorzaken.

Beschrijving: QuickTime Streaming Server was kwetsbaar voor een denial of service-aanval bij het verwerken van DESCRIBE-verzoeken. Deze update corrigeert de verwerking van deze verzoeken. Met dank aan iDEFENSE voor het melden van dit probleem.

Safari

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-1121

Impact: speciaal vervaardigde HTML kan een misleidende URI weergeven in de Safari-statusbalk.

Beschrijving: Safari kan worden verleid om een URI weer te geven in de statusbalk die niet hetzelfde is als de bestemming van een link. Deze update corrigeert Safari zodat de URI nu wordt weergegeven die wordt geactiveerd wanneer deze wordt geselecteerd.

Safari

Beschikbaar voor: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-1122

Impact: met meerdere actieve browservensters kunnen Safari-gebruikers worden misleid over welk venster een pop-upvenster heeft geactiveerd.

Beschrijving: wanneer er meerdere Safari-vensters zijn geopend, kan een zorgvuldig getimede pop-up een gebruiker misleiden door deze gebruiker te laten denken dat deze door een andere site is geactiveerd. In deze update plaatst Safari nu een venster dat een pop-up activeert voor alle andere browservensters. Met dank aan Secunia Research voor het melden van dit probleem.

Terminal

Beschikbaar voor: Mac OS X v10.3.6 en Mac OS X Server v10.3.6

CVE-ID: CAN-2004-1087

Impact: de terminal kan aangeven dat 'Beveilig toetsenbordinvoer' actief is als dit niet het geval is.

Beschrijving: de menu-instelling 'Beveilig toetsenbordinvoer' is niet goed hersteld bij het starten van Terminal.app. Er werd een vinkje weergegeven naast 'Beveilig toetsenbordinvoer', ook al was het niet ingeschakeld. Deze update verhelpt het gedrag van de functie 'Beveilig toetsenbordinvoer'. Dit probleem is niet aanwezig in Mac OS X v10.2.8 of Mac OS X Server v10.2.8. Met dank aan Jonathan 'Wolf' Rentssch van Red Shed Software voor het melden van dit probleem.

iCal 1.5.4

CVE-ID: CAN-2004-1021

Impact: nieuwe iCal-agenda's kunnen alarmen toevoegen zonder goedkeuring.

Beschrijving: iCal-agenda's kunnen meldingen van gebeurtenissen via alarmen bevatten. Deze alarmen kunnen programma's openen en e-mail verzenden. iCal is bijgewerkt om een waarschuwingsvenster weer te geven bij het importeren of openen van agenda's met alarmen. iCal 1.5.4 is beschikbaar voor Mac OS X 10.2.3 of nieuwer. Met dank aan aaron@vtty.com voor het melden van dit probleem.

Beveiligingsupdate 2004-10-27

Apple Remote Desktop

Beschikbaar voor: Apple Remote Desktop Client 1.2.4 met Mac OS X 10.3.x

CVE-ID: CAN-2004-0962

Impact: een app kan achter het inlogvenster worden gestart en wordt uitgevoerd als root.

Beschrijving: voor een systeem met deze volgende voorwaarden:

• Apple Remote Desktop-client geïnstalleerd

• Een gebruiker op het clientsysteem is ingeschakeld met de bevoegdheid om apps te openen en af te sluiten

• De gebruikersnaam en het wachtwoord van de ARD-gebruiker zijn bekend

• Snelle gebruikersoverschakeling is ingeschakeld

• Een gebruiker is ingelogd en het inlogvenster is actief via snelle gebruikersoverschakeling

Als de Apple Remote Desktop Administrator-toepassing op een ander systeem wordt gebruikt om een grafische gebruikersinterface op de client te starten, wordt de grafische gebruikersinterface uitgevoerd als root achter het inlogvenster. Deze update voorkomt dat Apple Remote Desktop apps start wanneer het inlogvenster actief is. Deze beveiligingsverbetering is ook aanwezig in Apple Remote Desktop v2.1. Dit probleem heeft geen gevolgen voor systemen ouder dan Mac OS X 10.3. Met dank aan Andrew Nakhla en Secunia Research voor het melden van dit probleem.

QuickTime 6.5.2

CVE-ID: CAN-2004-0988

Beschikbaar voor: Microsoft Windows XP, Microsoft Windows 2000, Microsoft Windows ME en Microsoft Windows 98

Impact: een overloop van gehele getallen die kan worden misbruikt in een HTML-omgeving.

Beschrijving: een tekenextensie van een overlopen klein geheel getal kan ertoe leiden dat een zeer groot getal wordt doorgegeven aan een geheugenverplaatsingsfunctie. De oplossing voorkomt dat het kleine geheel getal overloopt. Dit probleem bestaat niet in QuickTime voor Mac OS X-systemen. Met dank aan John Heasman van Next Generation Security Software Ltd. voor het melden van dit probleem.

CVE-ID: CAN-2004-0926

Beschikbaar voor: Mac OS X v10.3.x, Mac OS X Server v10.3.x, Mac OS X v10.2.8, Mac OS X Server v10.2.8, Microsoft Windows XP, Microsoft Windows 2000, Microsoft Windows ME en Microsoft Windows 98

Impact: een heapbufferoverloop kan aanvallers in staat stellen willekeurige code uit te voeren.

Beschrijving: fouten in het decoderen van het BMP-afbeeldingstype kunnen het heapgeheugen overschrijven en mogelijk willekeurige code uitvoeren die in een afbeelding verborgen is. Dit is dezelfde beveiligingsverbetering die beschikbaar is gesteld in beveiligingsupdate 2004-09-30 en kan worden geïmplementeerd op de extra systeemconfiguraties die worden gedekt door deze QuickTime-update.

Beveiligingsupdate 2004-09-30 (uitgebracht op 04-10-2004)

AFP Server

Beschikbaar voor: Mac OS X v10.3.5 en Mac OS X Server v10.3.5

CVE-ID: CAN-2004-0921

Impact: een denial of service waardoor een gast de verbinding met AFP-volumes kan verbreken

Beschrijving: een AFP-volume dat door een gast wordt gekoppeld, kan worden gebruikt om geverifieerde gebruikerskoppelingen vanaf dezelfde server te beëindigen door SessionDestroy-pakketten te wijzigen. Dit probleem heeft geen gevolgen voor systemen ouder dan Mac OS X v10.3 of Mac OS X Server v10.3.

AFP Server

Beschikbaar voor: Mac OS X v10.3.5 en Mac OS X Server v10.3.5

CVE-ID: CAN-2004-0922

Impact: alleen-schrijven AFP Drop Box kan worden ingesteld als lezen-schrijven.

Beschrijving: een alleen-schrijven Drop Box op een AFP-volume dat door een gast wordt gekoppeld, kan soms lezen/schrijven zijn vanwege een onjuiste instelling van de gastgroep-id. Dit probleem heeft geen gevolgen voor systemen ouder dan Mac OS X v10.3 of Mac OS X Server v10.3.

CUPS

Beschikbaar voor: Mac OS X v10.3.5, Mac OS X Server v10.3.5, Mac OS X v10.2.8, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-0558

Impact: een denial of service waardoor het afdruksysteem vastloopt

Beschrijving: de IPP-implementatie (Internet Printing Protocol) in CUPS kan vastlopen wanneer een bepaald UDP-pakket naar de IPP-poort wordt verzonden.

CUPS

Beschikbaar voor: Mac OS X v10.3.5, Mac OS X Server v10.3.5, Mac OS X v10.2.8, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-0923

Impact: lokale openbaarmaking van gebruikerswachtwoorden

Beschrijving: bepaalde methoden voor geverifieerd afdrukken op afstand kunnen gebruikerswachtwoorden vrijgeven in de logbestanden van de printer. Met dank aan Gary Smith van de IT Services-afdeling van de Caledonian University in Glasgow voor het melden van dit probleem.

NetInfoManager

Beschikbaar voor: Mac OS X v10.3.5 en Mac OS X Server v10.3.5

CVE-ID: CAN-2004-0924

Impact: onjuiste indicatie van accountstatus

Beschrijving: het NetInfo Manager-hulpprogramma kan de rootaccount inschakelen, maar na één rootaanmelding is het niet meer mogelijk om NetInfo Manager te gebruiken om de account uit te schakelen en het lijkt onjuist te zijn uitgeschakeld. Dit probleem heeft geen gevolgen voor systemen ouder dan Mac OS X v10.3 of Mac OS X Server v10.3.

postfix

Beschikbaar voor: Mac OS X v10.3.5 en Mac OS X Server v10.3.5

CVE-ID: CAN-2004-0925

Impact: een denial of service wanneer SMTPD AUTH is ingeschakeld

Beschrijving: wanneer SMTPD AUTH is ingeschakeld in postfix, wordt een buffer met de gebruikersnaam niet correct gewist tussen verificatiepogingen. Alleen gebruikers met de langste gebruikersnamen kunnen zich verifiëren. Dit probleem heeft geen gevolgen voor systemen ouder dan Mac OS X v10.3 of Mac OS X Server v10.3. Met dank aan Michael Rondinelli van EyeSee360 voor het melden van dit probleem.

QuickTime

Beschikbaar voor: Mac OS X v10.3.5, Mac OS X Server v10.3.5, Mac OS X v10.2.8, Mac OS X Server v10.2.8

CVE-ID: CAN-2004-0926

Impact: een heapbufferoverloop kan aanvallers in staat stellen willekeurige code uit te voeren.

Beschrijving: fouten in het decoderen van het BMP-afbeeldingstype kunnen het heapgeheugen overschrijven en mogelijk willekeurige code uitvoeren die in een afbeelding verborgen is.

ServerAdmin

Beschikbaar voor: Mac OS X Server v10.3.5 en Mac OS X Server v10.2.8

CVE-ID: CAN-2004-0927

Impact: communicatie tussen client en server met serverbeheerder kan worden gelezen door vastgelegde sessies te decoderen.

Beschrijving: client/servercommunicatie met serverbeheerder maakt gebruik van SSL. Alle systemen worden geleverd met hetzelfde voorbeeld van een zelfondertekend certificaat. Als dat certificaat niet is vervangen, kan de communicatie met de serverbeheerder worden gedecodeerd. De oplossing vervangt het bestaande zelf-ondertekende certificaat door een certificaat dat lokaal en uniek is gegenereerd. Met dank aan Michael Bartosh van 4am Media, Inc. voor het melden van dit probleem.

Beveiligingsupdate 2004-09-16

iChat

CVE-ID: CAN-2004-0873

Impact: externe iChat-deelnemers kunnen links sturen die lokale programma's kunnen starten als ze erop klikken.

Beschrijving: een externe iChat-deelnemer kan een 'link' sturen die verwijst naar een programma op het lokale systeem. Als de 'link' wordt geactiveerd door erop te klikken en de 'link' verwijst naar een lokaal programma, wordt het programma uitgevoerd. iChat is zo gewijzigd dat met 'links' van dit type een Finder-venster wordt geopend waarin het programma wordt weergegeven in plaats van het uit te voeren. Met dank aan aaron@vtty.com voor het melden van dit probleem.

Beschikbaarheid: Deze update is beschikbaar voor de volgende iChat-versies:

- iChat AV v2.1 (Mac OS X 10.3.5 of nieuwer)

- iChat AV v2.0 (Mac OS X 10.2.8)

- iChat 1.0.1 (Mac OS X 10.2.8)

Beveiligingsupdate 2004-09-07

Deze beveiligingsupdate is beschikbaar voor de volgende systeemversies:

- Mac OS X 10.3.4

- Mac OS X 10.3.5

- Mac OS X Server 10.3.4

- Mac OS X Server 10.3.5

- Mac OS X 10.2.8

- Mac OS X Server 10.2.8

Tip: Raadpleeg () voor meer informatie over CVE-ID's waarnaar hieronder wordt verwezen.

Component: Apache 2

CVE-ID's: CAN-2004-0493, CAN-2004-0488

Beschikbaar voor: Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: blootstelling aan een mogelijke denial of service

Beschrijving: de Apache Organization heeft Apache versie 2.0.50 uitgebracht. Deze release verhelpt een aantal beveiligingslekken met betrekking tot denial of service-kwetsbaarheden. We hebben Apache bijgewerkt naar versie 2.0.50, die alleen wordt geleverd met Mac OS X Server en standaard is uitgeschakeld.

Component: CoreFoundation

CVE-ID: CAN-2004-0821

Beschikbaar voor: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: geprivilegieerde programma's met CoreFoundation kunnen worden aangezet om een door de gebruiker geleverde bibliotheek te laden.

Beschrijving: bundels die gebruikmaken van de CoreFoundation CFplugin-faciliteiten kunnen aanwijzingen bevatten om uitvoerbare plug-ins automatisch te laden. Met een speciaal vervaardigde bundel kan dit ook gebeuren voor geprivilegieerde programma's, waardoor lokale privileges kunnen worden geëscaleerd. CoreFoundation voorkomt nu dat bundels die al een geladen uitvoerbaar bestand hebben, automatisch worden geladen. Met dank aan Kikuchi Masashi (kik@ms.u-tokyo.ac.jp) voor het melden van dit probleem.

Component: CoreFoundation

CVE-ID: CAN-2004-0822

Beschikbaar voor: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: een omgevingsvariabele kan worden gemanipuleerd om een bufferoverloop te veroorzaken, wat kan leiden tot een escalatie van privileges.

Beschrijving: door een omgevingsvariabele te manipuleren, kan een programma mogelijk willekeurige code uitvoeren door een lokale aanvaller. Dit kan alleen worden gebruikt met toegang tot een lokale account. Voor deze omgevingsvariabele worden nu striktere validiteitscontroles uitgevoerd. Met dank aan aaron@vtty.com voor het melden van dit probleem.

Component: IPSec

CVE-ID: CAN-2004-0607

Beschikbaar voor: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: bij het gebruik van certificaten kunnen niet-geverifieerde hosts mogelijk onderhandelen over een IPSec-verbinding.

Beschrijving: wanneer de configuratie is geconfigureerd om X.509-certificaten te gebruiken om externe hosts te verifiëren, wordt het uitwisselen van sleutels niet afgebroken door een fout in de certificaatverificatie. Mac OS X gebruikt standaard geen certificaten voor IPSec, dus dit probleem heeft alleen gevolgen voor configuraties die handmatig zijn geconfigureerd. IPSec controleert nu een sleuteluitwisseling en breekt deze af als er een fout optreedt bij de certificaatverificatie.

Component: Kerberos

CVE-ID: CAN-2004-0523

Beschikbaar voor: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: meerdere bufferoverlopen in krb5_aname_to_localname voor MIT Kerberos 5 (krb5) 1.3.3 en eerder kunnen externe aanvallers toestaan willekeurige code uit te voeren.

Beschrijving: de bufferoverloop kan alleen worden benut als de ondersteuning voor 'auth_to_local_names' of 'auth_to_local' ook is geconfigureerd in het bestand edu.mit.Kerberos. Apple schakelt dit niet standaard in. De beveiligingsoplossing is teruggezet en toegepast op de Mac OS X-versies van Kerberos. De Mac OS X- en Mac OS X Server-versie van Kerberos is niet gevoelig voor het recente 'dubbelvrije' probleem dat wordt gemeld in de CERT-kwetsbaarheidnotitie VU#350792 (CAN-2004-0772). Met dank aan het MIT Kerberos Development Team voor het melden van dit probleem.

Component: lukemftpd

CVE-ID: CAN-2004-0794

Beschikbaar voor: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: een racevoorwaarde waardoor een geverifieerde externe aanvaller een denial of service kan veroorzaken of willekeurige code kan uitvoeren.

Beschrijving: als de FTP-service is ingeschakeld en een externe aanvaller zich correct kan verifiëren, kan een racevoorwaarde de FTP-service stoppen of willekeurige code uitvoeren. De oplossing is om de lukemftpd FTP-service te vervangen door tnftpd. lukemftp is geïnstalleerd, maar niet geactiveerd in Mac OS X Server, die in plaats daarvan xftp gebruikt. Met dank aan Luke Mewburn van de NetBSD Foundation om ons op de hoogte te stellen van dit probleem.

Component: OpenLDAP

CVE-ID: CAN-2004-0823

Beschikbaar voor: Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: een crypt-wachtwoord kan worden gebruikt alsof het een wachtwoord voor platte tekst is.

Beschrijving: achterwaartse compatibiliteit met oudere LDAP-implementaties maakt het mogelijk om een cryptwachtwoord op te slaan in het kenmerk userPassword. Sommige validatieschema's voor authenticatie kunnen deze waarde gebruiken alsof het een wachtwoord voor platte tekst is. De oplossing verwijdert de dubbelzinnigheid en gebruikt dit type veld altijd als cryptografisch wachtwoord. Dit probleem doet zich niet voor in Mac OS X 10.2.8. Met dank aan Steve Revilak van Kayak Software Corporation voor het melden van dit probleem.

Component: OpenSSH

CVE-ID: CAN-2004-0175

Beschikbaar voor: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: een kwaadaardige ssh/scp-server kan lokale bestanden overschrijven.

Beschrijving: een kwetsbaarheid bij het doorlopen van mappen in het scp-programma stelt een kwaadaardige externe server in staat lokale bestanden te overschrijven. De beveiligingsoplossing is teruggezet en toegepast op de Mac OS X-versies van OpenSSH.

Component: PPPDialer

CVE-ID: CAN-2004-0824

Beschikbaar voor: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: een kwaadwillende gebruiker kan systeembestanden overschrijven, wat resulteert in een lokale escalatie van bevoegdheden.

Beschrijving: PPP-componenten voeren onveilige toegang uit tot een bestand dat is opgeslagen op een door iedereen beschrijfbare locatie. De oplossing verplaatst de logbestanden naar een niet door iedereen beschrijfbare locatie.

Component: QuickTime Streaming Server

Beschikbaar voor: Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

CVE-ID: CAN-2004-0825

Impact: een denial of service waarbij de QuickTime Streaming Server opnieuw moet worden opgestart

Beschrijving: een bepaalde reeks clientbewerkingen kan een impasse veroorzaken op de QuickTime Streaming Server. De reparatie werkt de code bij om deze deadlock-voorwaarde te elimineren.

Component: RSync

CVE-ID: CAN-2004-0426

Beschikbaar voor: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: wanneer rsync wordt uitgevoerd in daemon-modus, kan een externe aanvaller buiten het modulepad schrijven, tenzij de chroot-optie is ingesteld.

Beschrijving: rsync vóór versie 2.6.1 verwijdert paden niet goed wanneer een lees-/schrijfdaemon wordt uitgevoerd met de chroot-optie uitgeschakeld. De oplossing werkt rsync bij naar versie 2.6.2.

Component: Safari

CVE-ID: CAN-2004-0361

Beschikbaar voor: Mac OS X 10.2.8, Mac OS X Server 10.2.8

Impact: een JavaScript-array met een negatieve grootte kan ervoor zorgen dat Safari toegang krijgt tot geheugen buiten het bereik, wat kan leiden tot een crash van de toepassing.

Beschrijving: het opslaan van objecten in een JavaScript-array die is toegewezen met een negatieve grootte, kan het geheugen overschrijven. Safari stopt nu met het verwerken van JavaScript-programma's als een arraytoewijzing mislukt. Deze beveiligingsverbetering is eerder beschikbaar gesteld in Safari 1.0.3 en wordt toegepast in het Mac OS X 10.2.8-besturingssysteem als extra beschermingslaag voor klanten die die versie van Safari niet hebben geïnstalleerd. Dit is een specifieke oplossing voor Mac OS X 10.2.8 en het probleem bestaat niet in Mac OS X 10.3 of nieuwer systemen.

Component: Safari

CVE-ID: CAN-2004-0720

Beschikbaar voor: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: een niet-vertrouwde website kan inhoud in een frame injecteren dat is bedoeld voor gebruik door een ander domein.

Beschrijving: op een website die meerdere frames gebruikt, kunnen sommige frames worden vervangen door inhoud van een schadelijke website als de schadelijke website eerst wordt bezocht. De oplossing legt een reeks bovenliggende en onderliggende regels op die de aanval verhinderen.

Component: SquirrelMail

CVE-ID: CAN-2004-0521

Beschikbaar voor: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: met SquirrelMail vóór 1.4.3 RC1 kan een aanvaller op afstand ongeautoriseerde SQL-instructies uitvoeren.

Beschrijving: SquirrelMail vóór 1.4.3 RC1 is kwetsbaar voor SQL-injectie, waardoor niet-geautoriseerde SQL-instructies kunnen worden uitgevoerd. De oplossing werkt SquirrelMail bij naar versie 1.4.3a

Component: tcpdump

CVE-ID's: CAN-2004-0183, CAN-2004-0184

Beschikbaar voor: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Impact: kwaadwillig vervaardigde pakketten kunnen een crash veroorzaken van een uitvoerende tcpdump.

Beschrijving: de gedetailleerde afdrukfuncties voor ISAKMP-pakketten voeren niet de juiste bereikcontrole uit en veroorzaken een leesfout buiten het bereik, wat resulteert in een crash. De reparatie werkt tcpdump bij naar versie 3.8.3.

Mac OS X 10.3.5

Tip: Raadpleeg () voor meer informatie over CVE-ID's waarnaar hieronder wordt verwezen.

libpng (Portable Network Graphics)

CVE-ID's: CAN-2002-1363, CAN-2004-0421, CAN-2004-0597, CAN-2004-0598, CAN-2004-0599

Impact: kwaadaardige PNG-afbeeldingen kunnen leiden tot crashes van apps en willekeurige code uitvoeren.

Beschrijving: in de referentiebibliotheek zijn een aantal bufferoverlopen, null pointer-dereferences en overlopen van gehele getallen ontdekt voor het lezen en schrijven van PNG-afbeeldingen. Deze kwetsbaarheden zijn gecorrigeerd in libpng, dat wordt gebruikt door de CoreGraphics- en AppKit-frameworks in Mac OS X. Na de installatie van deze update worden apps die de afbeeldingsindeling PNG gebruiken via deze frameworks beschermd tegen deze fouten.

Safari:

CVE-ID's: CAN-2004-0743

Impact: in een speciale situatie kan navigatie met de vooruit/achteruit-knoppen formuliergegevens opnieuw naar een GET-url sturen.

Beschrijving: dit is voor een situatie waarin een webformulier naar een server wordt verzonden met behulp van een POST-methode die een HTTP-omleiding naar een URL voor de GET-methode verzendt. Als de knoppen voor vooruit/achteruit worden gebruikt, plaatst Safari de formuliergegevens opnieuw om de GET-url op te halen. Safari is zo aangepast dat in deze situatie alleen vooruit/achteruit navigeren resulteert in een GET-methode. Met dank aan Rick Osterberg van Harvard University FAS computer Services voor het melden van dit probleem.

TCP/IP Networking:

CVE-ID's: CAN-2004-0744

Impact: kwaadwillig vervaardigde IP-fragmenten kunnen te veel systeembronnen gebruiken om normale netwerkwerking te voorkomen.

Beschrijving: de 'Rose Attack' beschrijft een speciaal samengestelde reeks IP-fragmenten die zijn ontworpen om systeembronnen te gebruiken. De TCP/IP-implementatie is aangepast om het gebruik van bronnen te beperken en deze denial of service-aanval te voorkomen. Met dank aan Ken Hollis (gandalf@digital.net) en Chuck McAuley (Chuck-at-lemure-dot-net), uit een discussie over de 'Rose Attack'.

Beveiligingsupdate 2004-08-09 (Mac OS X 10.3.4 en 10.2.8)

Tip: Raadpleeg () voor meer informatie over CVE-ID's waarnaar hieronder wordt verwezen.

libpng (Portable Network Graphics)

CVE-ID's: CAN-2002-1363, CAN-2004-0421, CAN-2004-0597, CAN-2004-0598, CAN-2004-0599

Impact: kwaadaardige PNG-afbeeldingen kunnen leiden tot crashes van apps en willekeurige code uitvoeren.

Beschrijving: in de referentiebibliotheek zijn een aantal bufferoverlopen, null pointer-dereferences en overlopen van gehele getallen ontdekt voor het lezen en schrijven van PNG-afbeeldingen. Deze kwetsbaarheden zijn gecorrigeerd in libpng, dat wordt gebruikt door de CoreGraphics- en AppKit-frameworks in Mac OS X. Na de installatie van deze update worden apps die de afbeeldingsindeling PNG gebruiken via deze frameworks beschermd tegen deze fouten.

Beveiligingsupdate 2004-06-07 (Mac OS X 10.3.4 en 10.2.8)

Beveiligingsupdate 2004-06-07 biedt een aantal beveiligingsverbeteringen en wordt aanbevolen voor alle Macintosh-gebruikers. Het doel van deze update is om de beveiliging te verbeteren door u te waarschuwen wanneer u voor het eerst een app opent via documenttoewijzingen of een webadres (URL). Raadpleeg dit artikel voor meer informatie, inclusief een beschrijving van het nieuwe waarschuwingsdialoogvenster. Beveiligingsupdate 2004-06-07 is beschikbaar voor de volgende systeemversies:

- Mac OS X 10.3.4 "Panther"

- Mac OS X Server 10.3.4 "Panther"

- Mac OS X 10.2.8 "Jaguar"

- Mac OS X Server 10.2.8 "Jaguar"

LaunchServices

CVE-ID: CAN-2004-0538

Impact: LaunchServices registreert automatisch apps, die kunnen worden gebruikt om ervoor te zorgen dat het systeem onverwachte apps uitvoert.

Discussie: LaunchServices is een systeemcomponent die apps ontdekt en opent. Deze systeemcomponent is gewijzigd om alleen geopende apps te openen die eerder expliciet op het systeem zijn uitgevoerd. Pogingen om een toepassing uit te voeren die niet eerder expliciet is uitgevoerd, leiden tot een gebruikersmelding. Meer informatie is te vinden in dit artikel.

Component: DiskImage Mounter

CVE-ID: er is geen CVE-ID gereserveerd, omdat dit slechts een aanvullende preventieve maatregel is.

Impact: het URL-type disk:// koppelt een anoniem extern bestandssysteem met behulp van het http-protocol.

Discussie: de registratie van het URL-type disk:// wordt uit het systeem verwijderd als preventieve maatregel tegen pogingen om externe schijfbeeldbestandssystemen automatisch te koppelen.

Safari

CVE-ID: CAN-2004-0539

Impact: de knop 'Toon in Finder' opent bepaalde gedownloade bestanden, waarbij in sommige gevallen gedownloade apps worden uitgevoerd.

Discussie: de knop 'Toon in Finder' toont nu bestanden in een Finder-venster en probeert deze niet meer te openen. Deze wijziging is alleen beschikbaar voor Mac OS X 10.3.4 "Panther"- en Mac OS X Server 10.3.4 "Panther"-systemen, omdat het probleem niet van toepassing is op Mac OS X 10.2.8 "Jaguar" of Mac OS X Server 10.2.8 "Jaguar".

Terminal

CVE-ID: niet van toepassing

Impact: pogingen om een telnet://-URL te gebruiken met een alternatief poortnummer mislukken.

Discussie: er is een wijziging aangebracht om de specificatie van een alternatief poortnummer in een telnet://-URL toe te staan. Hierdoor wordt de functionaliteit hersteld die is verwijderd met de recente oplossing voor CAN-2004-0485.

Mac OS X 10.3.4

• NFS: oplossing voor CAN-2004-0513 om de logboekregistratie te verbeteren bij het traceren van systeemoproepen. Met dank aan David Brown (dave@spoonguard.org) voor het melden van dit probleem.

• LoginWindow: oplossing voor CAN-2004-0514 om de verwerking van zoekacties in adreslijstservices te verbeteren.

• LoginWindow: oplossing voor CAN-2004-0515 om de verwerking van console-logbestanden te verbeteren. Met dank aan aaron@vtty.com voor het melden van dit probleem.

• Packaging: oplossing voor CAN-2004-0516 om de installatiescripts voor pakketten te verbeteren. Met dank aan aaron@vtty.com voor het melden van dit probleem.

• Packaging: oplossing voor CAN-2004-0517 om de verwerking van proces-ID's tijdens de installatie van het pakket te verbeteren. Met dank aan aaron@vtty.com voor het melden van dit probleem.

• TCP/IP: oplossing voor CAN-2004-0171 om de verwerking van niet-opeenvolgende TCP-pakketten te verbeteren.

• AppleFileServer: oplossing voor CAN-2004-0518 om het gebruik van SSH en het melden van fouten te verbeteren.

• Terminal: oplossing voor CAN-2004-0485 om de verwerking van URL's te verbeteren. Met dank aan RenÌ© Puls (rpuls@gmx.net) voor het melden van dit probleem.

Opmerking: Mac OS X 10.3.4 bevat beveiligingsupdate 2004-04-05 en beveiligingsupdate 2004-05-03.

Beveiligingsupdate 2004-05-24 voor Mac OS X 10.3.3 "Panther" en Mac OS X 10.3.3 Server

• HelpViewer: oplossing voor CAN-2004-0486 om ervoor te zorgen dat HelpViewer alleen scripts verwerkt die door HelpViewer zijn geïnitieerd. Met dank aan lixlpixel Opmerking: deze update kan ook worden geïnstalleerd op Mac OS X 10.3.4 en Mac OS X 10.3.4 Server

Beveiligingsupdate 2004-05-24 voor Mac OS X 10.2.8 "Jaguar" en Mac OS X 10.2.8 Server

• HelpViewer: oplossing voor CAN-2004-0486 om ervoor te zorgen dat HelpViewer alleen scripts verwerkt die door HelpViewer zijn geïnitieerd. Met dank aan lixlpixel

• Terminal: oplossing voor CAN-2004-0485 om de verwerking van URL's in Terminal te verbeteren. Met dank aan RenÌ© Puls

Beveiligingsupdate 2004-05-03 voor Mac OS X 10.3.3 "Panther" en Mac OS X 10.3.3 Server

• AppleFileServer: oplossing voor CAN-2004-0430 om de verwerking van lange wachtwoorden te verbeteren. Met dank aan Dave G. van @stake voor het melden van dit probleem.

• Apache 2: oplossing voor CAN-2003-0020, CAN-2004-0113 en CAN-2004-0174 door Apache 2 bij te werken naar versie 2.0.49.

• CoreFoundation: oplossing voor CAN-2004-0428 om de verwerking van een omgevingsvariabele te verbeteren. Met dank aan aaron@vtty.com voor het melden van dit probleem.

• IPSec: oplossing voor CAN-2004-0155 en CAN-2004-0403 om de beveiliging van VPN-tunnels te verbeteren. IPSec in Mac OS X is niet kwetsbaar voor CAN-2004-0392.

Beveiligingsupdate 2004-04-05 is opgenomen in deze beveiligingsupdate.

Beveiligingsupdate 2004-05-03 voor Mac OS X 10.2.8 "Jaguar" en Mac OS X 10.2.8 Server

• AppleFileServer: oplossing voor CAN-2004-0430 om de verwerking van lange wachtwoorden te verbeteren. Met dank aan Dave G. van @stake voor het melden van dit probleem.

• Apache 2: oplossing voor CAN-2003-0020, CAN-2004-0113 en CAN-2004-0174 door Apache 2 bij te werken naar versie 2.0.49.

• CoreFoundation: oplossing voor CAN-2004-0428 om de verwerking van een omgevingsvariabele te verbeteren. Met dank aan aaron@vtty.com voor het melden van dit probleem.

• IPSec: oplossing voor CAN-2004-0155 en CAN-2004-0403 om de beveiliging van VPN-tunnels te verbeteren. IPSec in Mac OS X is niet kwetsbaar voor CAN-2004-0392.

• Server Settings daemon: oplossing voor CAN-2004-0429 om de verwerking van grote verzoeken te verbeteren.

Beveiligingsupdate 2004-04-05 is opgenomen in deze beveiligingsupdate.

QuickTime 6.5.1

• Oplossing voor CAN-2004-0431 waarbij het afspelen van een verkeerd ingedeeld .mov-bestand (film) ertoe kan leiden dat QuickTime wordt beëindigd.

Beveiligingsupdate 2004-04-05 voor Mac OS X 10.3.3 "Panther" en Mac OS X 10.3.3 Server

• CUPS Printing: oplossing voor CAN-2004-0382 om de beveiliging van het afdruksysteem te verbeteren. Dit is een wijziging in het configuratiebestand die geen invloed heeft op het onderliggende afdruksysteem. Met dank aan aaron@vtty.com voor het melden van dit probleem.

• libxml2: oplossing voor CAN-2004-0110 om de verwerking van uniforme bronlocaties te verbeteren.

• Mail: oplossing voor CAN-2004-0383 om de verwerking van e-mail in HTML-indeling te verbeteren. Met dank aan aaron@vtty.com voor het melden van dit probleem.

• OpenSSL: oplossing voor CAN-2004-0079 en CAN-2004-0112 om de verwerking van versleutelingsopties te verbeteren.

Beveiligingsupdate 2004-04-05 voor Mac OS X 10.2.8 "Jaguar" en Mac OS X 10.2.8 Server

• CUPS Printing: oplossing voor CAN-2004-0382 om de beveiliging van het afdruksysteem te verbeteren. Met dank aan aaron@vtty.com voor het melden van dit probleem.

Beveiligingsupdate 2004-01-26 is opgenomen in deze beveiligingsupdate. De aanvullende beveiligingsverbeteringen die Panther in beveiligingsupdate 2004-04-05 biedt, hebben geen invloed op het platform 10.2.

Beveiligingsupdate 2004-02-23 voor Mac OS X 10.3.2 "Panther" en Mac OS X 10.3.2 Server

• CoreFoundation: oplossing voor CAN-2004-0168 om de registratie van meldingen te verbeteren. Met dank aan aaron@vtty.com voor het melden van dit probleem.

• DiskArbitration: oplossing voor CAN-2004-0167 om de initialisatie van beschrijfbare verwijderbare media veiliger af te handelen. Met dank aan aaron@vtty.com voor het melden van dit probleem.

• IPSec: oplossing voor CAN-2004-0164 om controle in sleuteluitwisseling te verbeteren.

• Point-to-Point-Protocol: oplossing voor CAN-2004-0165 om de verwerking van foutberichten te verbeteren. Met dank aan Dave G. van @stake en Justin Tibbs van Secure Network Operations (SRT) voor het melden van dit probleem.

• tcpdump: oplossing voor CAN-2003-0989, CAN-2004-0055 en CAN-2004-0057 door tcpdump bij te werken naar versie 3.8.1 en libpcap naar versie 0.8.1

• QuickTime Streaming Server: oplossing voor CAN-2004-0169 om de controle van aanvraaggegevens te verbeteren. Met dank aan iDEFENSE Labs voor het melden van dit probleem. Updates voor streamingservers voor andere platforms zijn beschikbaar op http://developer.apple.com/darwin/.

Beveiligingsupdate 2004-02-23 voor Mac OS X 10.2.8 "Jaguar" en Mac OS X 10.2.8 Server

• DiskArbitration: oplossing voor CAN-2004-0167 om de initialisatie van beschrijfbare verwijderbare media veiliger af te handelen. Met dank aan aaron@vtty.com voor het melden van dit probleem.

• IPSec: oplossing voor CAN-2004-0164 om controle in sleuteluitwisseling te verbeteren.

• Point-to-Point-Protocol: oplossing voor CAN-2004-0165 om de verwerking van foutberichten te verbeteren. Met dank aan Dave G. van @stake en Justin Tibbs van Secure Network Operations (SRT) voor het melden van dit probleem.

• Safari: oplossing voor CAN-2004-0166 op om de weergave van URL's in de statusbalk te verbeteren.

• QuickTime Streaming Server: oplossing voor CAN-2004-0169 om de controle van aanvraaggegevens te verbeteren. Met dank aan iDEFENSE Labs voor het melden van dit probleem. Updates voor streamingservers voor andere platforms zijn beschikbaar op http://developer.apple.com/darwin/.

Beveiligingsupdate 2004-01-26 voor Mac OS X 10.2.8 Server is opgenomen in deze beveiligingsupdate.

Beveiligingsupdate 2004-01-26 voor Mac OS X 10.1.5 "Puma" en Mac OS X 10.1.5 Server

• Mail: oplossing voor CAN-2004-0085 om de beveiliging van de e-mailtoepassing van Apple te verbeteren.

Beveiligingsupdate 2004-01-26 voor Mac OS X 10.2.8 "Jaguar" en Mac OS X 10.2.8 Server

• AFP Server: Verbetert AFP ten opzichte van de beveiligingsupdate van 2003-12-19.

• Apache 1.3: oplossing voor CAN-2003-0542, een bufferoverloop in de modules mod_alias en mod_rewrite van de Apache-webserver.

• Apache 2: (alleen geïnstalleerd op Server) oplossing voor CAN-2003-0542 en CAN-2003-0789 door Apache 2.0.47 bij te werken naar 2.0.48. Ga voor meer informatie over de update naar http://www.apache.org/dist/httpd/Announcement2.html

• Classic: oplossing voor CAN-2004-0089 om de verwerking van omgevingsvariabelen te verbeteren. Met dank aan Dave G. van @stake voor het melden van dit probleem.

• Mail: oplossing voor CAN-2004-0085 om de beveiliging van de e-mailtoepassing van Apple te verbeteren.

• Safari: oplossing voor CAN-2004-0092 door beveiligingsverbeteringen aan te brengen in de Safari-webbrowser.

• System Configuration: oplossing voor CAN-2004-0087 en CAN-2004-0088 waarbij het subsysteem SystemConfiguration externe gebruikers zonder beheerder heeft toegestaan de netwerkinstellingen te wijzigen en configuratiewijzigingen aan te brengen in configd. Met dank aan Dave G. van @stake voor het melden van deze problemen.

Beveiligingsupdate 2003-12-19 is opgenomen in deze beveiligingsupdate. Aanvullende beveiligingsverbeteringen die zijn opgenomen in beveiligingsupdate 2004-01-26 voor Mac OS X 10.3.2 "Panther" zijn niet opgenomen in deze update voor Jaguar, omdat Jaguar niet wordt getroffen door deze problemen.

Beveiligingsupdate 2004-01-26 voor Mac OS X 10.3.2 "Panther" en Mac OS X Server 10.3.2

• Apache 1.3: oplossing voor CAN-2003-0542, een bufferoverloop in de modules mod_alias en mod_rewrite van de Apache-webserver.

• Apache 2: (alleen geïnstalleerd op Server) oplossing voor CAN-2003-0542 en CAN-2003-0789 door Apache 2.0.47 bij te werken naar 2.0.48. Ga voor meer informatie over de update naar http://www.apache.org/dist/httpd/Announcement2.html.

• Classic: oplossing voor CAN-2004-0089 om de verwerking van omgevingsvariabelen te verbeteren. Met dank aan Dave G. van @stake voor het melden van dit probleem.

• Mail: oplossing voor CAN-2004-0086 om de beveiliging van de e-mailtoepassing van Apple te verbeteren. Met dank aan Jim Roepcke voor het melden van dit probleem.

• Safari: oplossing voor CAN-2004-0092 door beveiligingsverbeteringen aan te brengen in de Safari-webbrowser.

• System Configuration: oplossing voor CAN-2004-0087 op waarbij het subsysteem System Configuration externe gebruikers die geen beheerder zijn toestaat de netwerkinstellingen te wijzigen. Met dank aan Dave G. van @stake voor het melden van deze problemen.

• Windows File Sharing: oplossing voor CAN-2004-0090 waarbij Windows-bestandsdeling niet goed is uitgeschakeld.

• Beveiligingsupdate 2003-12-19 is opgenomen in deze beveiligingsupdate. Aanvullende beveiligingsverbeteringen die zijn opgenomen in beveiligingsupdate 2004-01-26 voor Mac OS X 10.2.8 "Jaguar" zijn niet opgenomen in deze update voor Panther, omdat Panther niet wordt getroffen door deze problemen.

Beveiligingsupdate 2003-12-19 voor Mac OS X 10.2.8 "Jaguar" en Mac OS X 10.2.8 Server

• AppleFileServer: oplossing voor CAN-2003-1007 om de verwerking van verkeerd ingedeelde verzoeken te verbeteren.

• cd9660.util: oplossing voor CAN-2003-1006, een bufferoverloop-kwetsbaarheid in het bestandssysteem-hulpprogramma cd9660.util. Met dank aan KF van Secure Network Operations voor het melden van dit probleem.

• Directory Services: oplossing voor CAN-2003-1009. De standaardinstellingen worden gewijzigd om een onopzettelijke verbinding te voorkomen in het geval van een kwaadaardige DHCP-server op het lokale subnet van de computer. Meer informatie is te vinden in het Knowledge Base-artikel van Apple: http://docs.info.apple.com/article.html?artnum=32478. Met dank aan William A. Carrel voor het melden van dit probleem.

• Fetchmail: oplossing voor CAN-2003-0792. Er worden updates verstrekt om e-mail op te halen die de stabiliteit onder bepaalde omstandigheden verbetert.

• fs_usage: oplossing voor CAN-2003-1010. De tool fs_usage is verbeterd om een lokaal beveiligingslek met betrekking tot het escaleren van bevoegdheden te voorkomen. Deze tool wordt gebruikt om systeemprestatiegegevens te verzamelen en vereist beheerdersbevoegdheden om te kunnen worden uitgevoerd. Met dank aan Dave G. van @stake voor het melden van dit probleem.

• rsync: Richt zich op CAN-2003-0962 door de beveiliging van de rsyncserver te verbeteren.

• System initialization: oplossing voor CAN-2003-1011. Het systeeminitialisatieproces is verbeterd om de roottoegang te beperken op een systeem dat een USB-toetsenbord gebruikt.

Opmerking: De volgende oplossingen die worden weergegeven in beveiligingsupdate 2003-12-19 voor Panther, zijn niet opgenomen in beveiligingsupdate 2003-12-19 voor Jaguar, omdat de versies van Mac OS X en Mac OS X Server van Apple niet kwetsbaar zijn voor deze problemen:

- CAN-2003-1005: ASN.1-decodering voor PKI

- CAN-2003-1008: Tekstfragmenten voor schermbeveiliging

Beveiligingsupdate 2003-12-19 voor Mac OS X 10.3.2 "Panther" en Mac OS X 10.3.2 Server

• ASN.1 Decoding for PKI: oplossing voor CAN-2003-1005 die een mogelijke denial of service kunnen veroorzaken bij het ontvangen van verkeerd ingedeelde ASN.1-reeksen. Dit is gerelateerd, maar los van CAN-2003-0851.

• AppleFileServer: oplossing voor CAN-2003-1007 om de verwerking van verkeerd ingedeelde verzoeken te verbeteren.

• cd9660.util: oplossing voor CAN-2003-1006, een bufferoverloop-kwetsbaarheid in het bestandssysteem-hulpprogramma cd9660.util. Met dank aan KF van Secure Network Operations voor het melden van dit probleem.

• Directory Services: oplossing voor CAN-2003-1009. De standaardinstellingen worden gewijzigd om een onopzettelijke verbinding te voorkomen in het geval van een kwaadaardige DHCP-server op het lokale subnet van de computer. Meer informatie is te vinden in het Knowledge Base-artikel van Apple: http://docs.info.apple.com/article.html?artnum=32478. Met dank aan William A. Carrel voor het melden van dit probleem.

• Fetchmail: oplossing voor CAN-2003-0792. Er worden updates verstrekt aan fetchmail die de stabiliteit onder bepaalde omstandigheden verbeteren.

• fs_usage: oplossing voor CAN-2003-1010. De tool fs_usage is verbeterd om een lokaal beveiligingslek met betrekking tot het escaleren van bevoegdheden te voorkomen. Deze tool wordt gebruikt om systeemprestatiegegevens te verzamelen en vereist beheerdersbevoegdheden om te kunnen worden uitgevoerd. Met dank aan Dave G. van @stake voor het melden van dit probleem.

• rsync: richt zich op CAN-2003-0962 door de beveiliging van de rsyncserver te verbeteren.

• Screen Saver: oplossing voor CAN-2003-1008. Wanneer het inlogvenster van Schermbeveiliging aanwezig is, is het niet meer mogelijk om een tekstfragment op het bureaublad of een toepassing te schrijven. Met dank aan Benjamin Kelly voor het melden van dit probleem.

• System initialization: oplossing voor CAN-2003-1011. Het systeeminitialisatieproces is verbeterd om de roottoegang te beperken op een systeem dat een USB-toetsenbord gebruikt.

Beveiligingsupdate 2003-12-05

• Safari: oplossing voor CAN-2003-0975 om ervoor te zorgen dat Safari alleen geautoriseerde websites toegang geeft tot de cookie-informatie van een gebruiker. De update is beschikbaar voor zowel Mac OS X 10.3.1 als Mac OS X 10.2.8.

Beveiligingsupdate 2003-11-19 voor 10.2.8

Het is het beleid van Apple om belangrijke kwetsbaarheden in eerdere releases van Mac OS X snel aan te pakken waar dat mogelijk is. Beveiligingsupdate 2003-11-19 bevat updates voor verschillende componenten van Mac OS X 10.2 die aan deze criteria voldoen.

• gm4: oplossing voor CAN-2001-1411 een beveiligingslek met betrekking tot een opmaaktekenreeks in het hulpprogramma gm4. Geen set uid-rootprogramma's vertrouwden op gm4 en deze oplossing is een preventieve maatregel tegen mogelijk toekomstig misbruik.

• groff: oplossing voor CVE-2001-1022 waarbij de groff-component pic een beveiligingslek met betrekking tot formaatstring bevatte.

• Mail: oplossing voor CAN-2003-0881 de Mac OS X Mail-app valt niet meer terug op aanmelden met platte tekst wanneer een account is geconfigureerd om MD5 Challenge Response te gebruiken.

• OpenSSL: oplossing voor CAN-2003-0851 het parseren van bepaalde verkeerd ingedeelde ASN.1-reeksen wordt nu veiliger verwerkt.

• Personal File Sharing: oplossing voor CAN-2003-0878 wanneer Persoonlijke bestandsdeling is ingeschakeld, kan de slpd-daemon geen rootbestand meer maken in de map /tmp om verhoogde bevoegdheden te krijgen.

• QuickTime for Java: oplossing voor CAN-2003-0871 een potentieel beveiligingslek waardoor onbevoegde toegang tot een systeem mogelijk is.

• zlib: richt zich op CAN-2003-0107. Hoewel er geen functies in MacOS X waren die de kwetsbare gzprintf()-functie gebruikten, is het onderliggende probleem in zlib opgelost om alle apps van derden te beschermen die mogelijk gebruikmaken van deze bibliotheek.

Beveiligingsupdate 2003-11-19 voor Panther 10.3.1

• OpenSSL: oplossing voor CAN-2003-0851 het parseren van bepaalde verkeerd ingedeelde ASN.1-reeksen wordt nu veiliger verwerkt.

• zlib: richt zich op CAN-2003-0107. Hoewel er geen functies in MacOS X waren die de kwetsbare gzprintf()-functie gebruikten, is het onderliggende probleem in zlib opgelost om alle apps van derden te beschermen die mogelijk gebruikmaken van deze bibliotheek.

Beveiligingsupdate 2003-11-04

• Terminal: oplossing voor CAN-2003-0913 als een mogelijk beveiligingsprobleem met de Terminal-toepassing in Mac OS X 10.3 en Mac OS X Server 10.3 waardoor onbevoegde toegang tot een systeem kan worden toegestaan. Mac OS X-versies ouder dan 10.3 hebben geen last van dit probleem.

Beveiligingsupdate 2003-10-28

• Oplossing voor CAN-2003-0871 een potentieel beveiligingslek in de implementatie van QuickTime Java in Mac OS X 10.3 en Mac OS X Server 10.3 waardoor onbevoegde toegang tot een systeem mogelijk is.

Mac OS X 10.3 Panther

• Finder: oplossing voor CAN-2003-0876 waarbij mapbevoegdheden mogelijk niet worden behouden wanneer een map wordt gekopieerd van een gekoppeld volume, zoals een diskimage. Met dank aan Dave G. van @stake, Inc. voor het vinden van dit probleem.

• Kernel: oplossing voor CAN-2003-0877 waarbij als een systeem wordt uitgevoerd met kernbestanden ingeschakeld, een gebruiker met interactieve shell-toegang willekeurige bestanden kan overschrijven en kernbestanden kan lezen die zijn aangemaakt door processen van roots. Dit kan ertoe leiden dat gevoelige informatie, zoals authenticatiegegevens, in gevaar komt. Het aanmaken van kernbestanden is standaard uitgeschakeld op Mac OS X. Met dank aan Dave G. van @stake, Inc. voor het vinden van dit probleem.

• slpd: oplossing voor CAN-2003-0878 wanneer Delen van persoonlijke bestanden is ingeschakeld, kan de slpd-daemon een rootbestand maken in de map /tmp. Hierdoor kan een bestaand bestand worden overschreven en kan een gebruiker verhoogde bevoegdheden krijgen. Delen van persoonlijke bestanden is standaard uitgeschakeld in Mac OS X. Met dank aan Dave G. van @stake, Inc. voor het vinden van dit probleem.

• Kernel: oplossing voor CAN-2003-0895 waarbij het mogelijk is dat een lokale gebruiker ervoor zorgt dat de Mac OS X-kernel crasht door een lang opdrachtregelargument op te geven. De machine wordt na enkele minuten vanzelf opnieuw opgestart. Met dank aan Dave G. van @stake, Inc. voor het vinden van dit probleem.

• ktrace: oplossing voor CVE-2002-0701 als ktrace is ingeschakeld via de KTRACE-kerneloptie, kan een lokale gebruiker mogelijk gevoelige informatie verkrijgen. Er is momenteel geen specifiek hulpprogramma bekend dat kwetsbaar is voor dit specifieke probleem.

• nfs: oplossing voor CVE-2002-0830 voor het netwerkbestandssysteem, waarbij een externe gebruiker RPC-berichten kan verzenden die ervoor zorgen dat het systeem vastloopt.

• zlib: richt zich op CAN-2003-0107. Hoewel er geen functies in Mac OSX waren die de kwetsbare gzprintf()-functie gebruikten, is het onderliggende inzlib-probleem opgelost.

• gm4: oplossing voor CAN-2001-1411 een beveiligingslek met betrekking tot een opmaaktekenreeks in het hulpprogramma gm4. Geen set uid-rootprogramma's vertrouwden op gm4 en deze oplossing is een preventieve maatregel tegen mogelijk toekomstig misbruik.

• OpenSSH: oplossing voor CAN-2003-0386 waarbij de beperkingen 'van=' en 'user@hosts' mogelijk via reverse DNS kunnen worden gespoofd voor numeriek opgegeven IP-adressen. Mac OS X 10.3 bevat ook eerdere oplossingen die zijn uitgebracht voor OpenSSH, en de versie van OpenSSH die is verkregen via het commando 'ssh -V' is: OpenSSH_3.6.1p1+CAN-2003-0693, SSH-protocollen 1.5/2.0, OpenSSL 0x0090702f

• nidump: oplossing voor CAN-2001-1412 waarbij het nidump-hulpprogramma toegang biedt tot de gecodeerde wachtwoorden die worden gebruikt om inloggegevens te verifiëren.

• System Preferences: oplossing voor CAN-2003-0883 waarbij het systeem na verificatie met een beheerderswachtwoord gedurende korte tijd toegang blijft verlenen tot beveiligde voorkeurenvensters. Hierdoor kan een lokale gebruiker toegang krijgen tot voorkeurenvensters die normaal gesproken niet kunnen worden gebruikt. In de beveiligingsvoorkeuren van Mac OS X 10.3 is er nu de keuze om 'een wachtwoord te vereisen om elke veilige systeemvoorkeur te ontgrendelen'. Met dank aan Anthony Holder voor het melden van dit probleem.

• TCP timestamp: oplossing voor CAN-2003-0882 waarbij de TCP-tijdstempel wordt geïnitialiseerd met een constant getal. Hierdoor kan een persoon ontdekken hoelang het systeem actief is op basis van de id in TCP-pakketten. In Mac OS X 10.3 wordt de TCP-tijdstempel nu geïnitialiseerd met een willekeurig getal. Met dank aan Aaron Linville voor het melden van dit probleem en het indienen van een oplossing via het open source-programma van Darwin.

• Mail: oplossing voor CAN-2003-0881 als in de Mac OS X Mail-app een account is geconfigureerd om MD5 Challenge Response te gebruiken, wordt geprobeerd in te loggen met CRAM-MD5, maar wordt geruisloos teruggevallen op platte tekst als de gehashte aanmelding mislukt. Met dank aan Chris Adams voor het melden van dit probleem.

• Dock: oplossing voor CAN-2003-0880 wanneer volledige toetsenbordtoegang is ingeschakeld via het toetsenbordpaneel in Systeemvoorkeuren, kunnen dockfuncties blind worden geopend vanaf de effecten achter het scherm.

Mac OS X 10.2.8

• OpenSSL: oplossing voor CAN-2003-0543, CAN-2003-0544, CAN-2003-0545 om mogelijke problemen in bepaalde ASN.1-structuren en in certificaatverificatiecode op te lossen. Om de update snel en betrouwbaar te kunnen leveren, zijn alleen de patches voor de hierboven vermelde CVE-ID's toegepast, en niet de volledige nieuwste OpenSSL-bibliotheek. De OpenSSL-versie in Mac OS X 10.2.8, zoals verkregen via het commando 'opensl version', is: OpenSSL 0.9.6i 19 feb. 2003

• OpenSSH: richt zich op CAN-2003-0693, CAN-2003-0695 en CAN-2003-0682 om fouten in het bufferbeheer in de sshd-versies van OpenSSH vóór 3.7 op te lossen. Om de update snel en betrouwbaar te kunnen leveren, zijn alleen de hierboven vermelde patches voor CVE-ID's toegepast, en niet de volledige set patches voor OpenSSH 3.7.1. De OpenSSH-versie in Mac OS X 10.2.8, zoals verkregen via het commando 'ssh -V', is dus: OpenSSH_3.4p1+CAN-2003-0693, SSH-protocollen 1.5/2.0, OpenSSL 0x0090609f

• sendmail: richt zich op CAN-2003-0694 en CAN-2003-0681 om een bufferoverloop bij het parseren van adressen en een potentiële bufferoverloop bij het parseren van regelsets te verhelpen.

• fb_realpath(): oplossing voor CAN-2003-0466, een off-by-one fout in de fb_realpath()-functie die aanvallers in staat kan stellen willekeurige code uit te voeren.

• arplookup(): oplossing voor CAN-2003-0804. De functie arplookup() slaat ARP-verzoeken op in de cache voor routes op een lokale link. Alleen op een lokaal subnet kan een aanvaller een voldoende aantal vervalste ARP-verzoeken verzenden, waardoor het kernelgeheugen wordt uitgeput, wat leidt tot een denial of service.

Raadpleeg Apple beveiligingsupdates: augustus 2003 en eerder voor informatie over eerdere beveiligingsupdates.