Om sikkerhetsoppdatering 2009-004

Dette dokumentet beskriver sikkerhetsinnholdet i Sikkerhetsoppdatering 2009-004.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.»

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.

Sikkerhetsoppdatering 2009-004

• BIND

  CVE-ID: CVE-2009-0696

  Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

  Virkning: En ekstern angriper kan forårsake en uventet avslutting av DNS-tjeneren

  Beskrivelse: Et logikkproblem i håndteringen av dynamiske DNS-oppdateringsmeldinger kan føre til at en feiltilstand utløses. Ved å sende en skadelig oppdateringsmelding til BIND DNS-tjeneren kan en ekstern angriper avbryte BIND-tjenesten. Problemet berører tjenere som er mastere for en eller flere soner, uansett om de godtar oppdateringer eller ikke. BIND er inkludert i Mac OS X og Mac OS X Server, men er ikke aktivert som standard. Denne oppdateringen løser problemet gjennom å forkaste meldinger med poster av typen «ANY», som tidligere ville utløst en feiltilstand.