關於 Mac OS X 10.5.1 更新 (用戶端和伺服器) 的保安內容

本文說明 Mac OS X 10.5.1 更新 (用戶端和伺服器) 的保安內容。此內容可以透過「軟件更新」偏好設定或從「Apple 下載」進行下載和安裝。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認保安問題。如要進一步了解 Apple 產品的保安，請參閱 Apple 產品保安網站。

如需 Apple 產品保安 PGP 金鑰的相關資料，請參閱「如何使用 Apple 產品保安 PGP 金鑰」。

在可能的情況下，將會使用 CVE ID 來參照保安漏洞，以取得進一步資料。

要了解其他保安更新，請參閱「Apple 保安更新」。

Mac OS X v10.5.1 更新

Application Firewall

CVE-ID：CVE-2007-4702

適用於：Mac OS X v10.5、Mac OS X Server v10.5

影響：防火牆的「阻斷所有傳入連線」設定易令人誤會。

說明：「應用程式防火牆」的「阻斷所有傳入連線」設定允許任何以用戶「root」(UID 0) 執行的程序接收傳入連線，亦允許 mDNSResponder 接收連線。這可導致網絡服務意外洩露。此更新透過將該選項更準確地描述為「只允許基本服務」，以及將在此設定中允許接收傳入連線的程序限制為固定少數的系統服務，包括 configd (DHCP 和其他網絡設定通訊協定)、mDNSResponder (Bonjour) 和 racoon (IPSec)，以解決此問題。「應用程式防火牆」的「輔助説明」內容亦已更新，以提供更多資訊。此問題不會影響 Mac OS X v10.5 之前的系統。

Application Firewall

CVE-ID：CVE-2007-4703

適用於：Mac OS X v10.5、Mac OS X Server v10.5

影響：防火牆設定為「為指定服務和應用程式設定存取權」時，無法阻斷以用戶「root」(UID 0) 執行的程序。

說明：「應用程式防火牆」的「為指定服務和應用程式設定存取權」設定允許任何以用戶「root」(UID 0) 執行的程序接收傳入連線，即使程序為執行檔、已特地加到程式列表，以及其於列表中的項目已標為「阻斷傳入連線」亦然。這可導致網絡服務意外洩露。此更新已修正問題，任何已如此標示的執行檔均可被阻斷。此問題不會影響 Mac OS X v10.5 之前的系統。

Application Firewall

CVE-ID：CVE-2007-4704

適用於：Mac OS X v10.5、Mac OS X Server v10.5

影響：「應用程式防火牆」的設定變更不影響啟動時開始的程序，直至這些程序重新啟動為止。

說明：「應用程式防火牆」的設定變更後，啟動時開始並且執行中的程序不受影響，直至這些程序重新啟動為止。用戶可能認為變更會立即生效，因而令系統曝露並可透過網絡存取。此更新修正了問題，令變更即時生效。此問題不會影響 Mac OS X v10.5 之前的系統。