Сведения о проблемах системы безопасности, устраняемых обновлением Mac OS X 10.5.1 (клиент и сервер)

В этом документе описываются проблемы системы безопасности, устраняемые обновлением Mac OS X 10.5.1 (как клиента, так и сервера), которое можно загрузить и установить с помощью настроек раздела Обновление ПО или со страницы «Загрузки» сайта Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает их и не участвует в их обсуждении до тех пор, пока не будет проведено полное расследование и не станут доступны необходимые исправления или выпуски программного обеспечения. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Обновление Mac OS X 10.5.1

Брандмауэр для приложений

Идентификатор CVE: CVE-2007-4702

Целевые продукты: Mac OS X 10.5, Mac OS X Server 10.5

Воздействие. Параметр «Блокировать все входящие подключения» для брандмауэра вводит в заблуждение.

Описание. Параметр «Блокировать все входящие подключения» для брандмауэра для приложений позволяет любому процессу, запущенному от имени корневого (root) пользователя (UID 0), принимать входящие подключения, а также позволяет mDNSResponder принимать подключения. Это может приводить к непредвиденному постороннему воздействию на сетевые службы. В этом обновлении проблема устраняется путем более точного описания этого параметра как «Разрешить только основные службы» и ограничения процессов, которым разрешено принимать входящие подключения в соответствии с этим параметром, небольшим фиксированным набором системных служб: configd (для DHCP и других протоколов конфигурации сети), mDNSResponder (для Bonjour) и racoon (для IPSec). Содержимое справки по брандмауэру для приложений также обновляется, чтобы предоставить дополнительную информацию. Эта проблема не возникает в системах, предшествующих Mac OS X 10.5.

Брандмауэр для приложений

Идентификатор CVE: CVE-2007-4703

Целевые продукты: Mac OS X 10.5, Mac OS X Server 10.5

Воздействие. Процессы, выполняемые от имени корневого (root) пользователя (UID 0), не могут быть заблокированы, если для брандмауэра задан параметр «Установить доступ для определенных служб и приложений».

Описание. Параметр «Установить доступ для определенных служб и приложений» для брандмауэра для приложений позволяет любому процессу, запущенному от имени корневого (root) пользователя (UID 0), принимать входящие подключения, даже если его исполняемый файл специально добавлен в список программ, а его запись в списке помечена как «Блокировать входящие подключения». Это может приводить к непредвиденному постороннему воздействию на сетевые службы. Это обновление исправляет проблему так, что любой исполняемый файл, отмеченный таким образом, блокируется. Эта проблема не возникает в системах, предшествующих Mac OS X 10.5.

Брандмауэр для приложений

Идентификатор CVE: CVE-2007-4704

Целевые продукты: Mac OS X 10.5, Mac OS X Server 10.5

Воздействие. Изменения настроек брандмауэра для приложений не влияют на процессы, запущенные launchd, до тех пор, пока они не будут перезапущены.

Описание. При изменении настроек брандмауэра для приложения выполняющийся процесс, запущенный launchd, не будет затронут до тех пор, пока он не будет перезапущен. Пользователь может ожидать, что изменения вступят в силу немедленно, и поэтому оставить свою систему доступной в сети. Это обновление исправляет проблему, так что изменения вступают в силу немедленно. Эта проблема не возникает в системах, предшествующих Mac OS X 10.5.