Проблеми системи безпеки, які усунено в оновленні Mac OS X 10.5.1 (з боку клієнта та сервера)

У цьому документі описано проблеми системи безпеки, які усунено в оновленні Mac OS X 10.5.1 (як з боку клієнта, так і з боку сервера). Його можна завантажити та інсталювати через параметри Оновлення ПЗ або з сайту завантаження Apple.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте веб‑сайт, присвячений безпеці продуктів Apple.

Отримати інформацію про ключ PGP безпеки продуктів Apple можна у статті Як використовувати ключ PGP безпеки продуктів Apple.

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Докладніше про інші оновлення системи безпеки описано в статті «Оновлення системи безпеки Apple».

Оновлення Mac OS X 10.5.1

Брандмауер для програм

Ідентифікатор CVE: CVE-2007-4702

Цільові продукти: Mac OS X 10.5, Mac OS X Server 10.5

Вплив: параметр «Блокувати всі вхідні підключення» для брандмауера вводить в оману.

Опис: параметр «Блокувати всі вхідні підключення» для брандмауера програм дозволяє будь-якому процесу, що виконується з правами кореневого користувача (UID 0), отримувати вхідні підключення, а також дозволяє mDNSResponder отримувати підключення. Це може спричинити неочікуване викриття мережевих служб. Це оновлення вирішує дану проблему завдяки більш точному опису параметру «Дозволити лише основні служби» та обмеженню процесів, яким дозволено отримувати вхідні підключення відповідно до цього налаштування, застосовуючи невеликий фіксований набір системних служб: configd (для протоколів DHCP та інших мережевих конфігурацій), mDNSResponder (для Bonjour) і racoon (для IPSec). Також оновлено вміст розділу «Довідка» брандмауера програм з метою надання додаткової інформації. Ця проблема не стосується систем із версіями до Mac OS X 10.5.

Брандмауер для програм

Ідентифікатор CVE: CVE-2007-4703

Цільові продукти: Mac OS X 10.5, Mac OS X Server 10.5

Вплив: процеси, що виконуються з правами кореневого користувача (UID 0), не можна заблокувати, якщо для брандмауера встановлено значення «Налаштувати доступ для певних служб і програм».

Опис: параметр «Налаштувати доступ для певних служб і програм» для брандмауера програм дозволяє будь-якому процесу, що виконується з правами кореневого користувача (UID 0), отримувати вхідні підключення, навіть якщо його виконуваний файл спеціально додано до списку програм і його запис у списку позначено як «Блокувати вхідні підключення». Це може спричинити неочікуване викриття мережевих служб. Це оновлення вирішує дану проблему, через що блокується будь-який виконуваний файл із таким позначенням. Ця проблема не стосується систем із версіями до Mac OS X 10.5.

Брандмауер для програм

Ідентифікатор CVE: CVE-2007-4704

Цільові продукти: Mac OS X v10.5, Mac OS X Server v10.5

Вплив: зміни в налаштуваннях брандмауера програм не впливають на процеси, запущені командою launchd, доки їх не буде перезапущено.

Опис: після змінення параметрів брандмауера програм це не вплине на процес, запущений командою launchd, доки його не буде перезапущено. Користувач може очікувати, що зміни набудуть чинності негайно, і тому залишить свою систему доступною для мережі. Це оновлення вирішує дану проблему таким чином, щоб зміни набирали чинності негайно. Ця проблема не стосується систем із версіями до Mac OS X 10.5.