Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2007 > CERT-FI haavoittuvuustiedote 159/2007

CERT-FI haavoittuvuustiedote 159/2007

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

15.11.2007

Apple julkaisi korjauspaketin 2007-008 ja Mac OS X version 10.4.11

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
- ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- käyttövaltuuksien laajentaminen
- tietojen muokkaaminen
- luottamuksellisen tiedon hankkiminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Apple on julkaissut päivityksen 2007-008 Mac OS X -käyttöjärjestelmäympäristöön ja Mac OS X version 10.4.11. Päivityksellä korjataan lukuisia haavoittuvuuksia Mac OS X -käyttöjärjestelmän komponenteista ja sen mukana toimitettavista ohjelmistoista. Osa haavoittuvuuksista mahdollistaa hyökkääjän omien komentojen suorittamisen kohdetietojärjestelmässä.

Ensimmäinen tärkeistä haavoittuvuuksista on Flash Player Plugin -ohjelmistossa. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa haavoittuvassa järjestelmässä omia komentojaan.

Toinen haavoittuvuus on bzip2 -ohjelmistossa. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä muun muassa palvelunestohyökkäys.

Kolmas huomionarvoinen haavoittuvuus on BIND-nimipalvelintoteutuksessa. Haavoittuvuutta hyväksikäyttämällä hyökkääjän saattaa olla mahdollista saada nimipalvelin tuottamaan väärää tietoa sisältäviä vastauksia.

Neljäs haavoittuvuus on Kerberos administration daemon -sovelluksessa. Haavoittuvuutta hyväksikäyttämällä hyökkääjän saattaa olla mahdollista suorittaa haavoittuvassa järjestelmässä koodia system-tason käyttöoikeuksilla tai saada aikaan palvelunestohyökkäys.

OS X -käyttöjärjestelmän ytimestä on korjattu haavoittuvuuksia, joita hyväksikäyttämällä paikallisen käyttäjän voi olla muun muassa mahdollista laajentaa käyttövaltuuksiaan ja suorittaa komentoja system-tason käyttövaltuuksilla.

Yllämainittujen haavoittuvuuksien lisäksi korjauspaketti sisältää lukuisia muita korjauksia. Haavoittuvuuksiin liittyvät CVE-numerot on löydettävissä Applen julkaisemasta tiedotteesta.

HAAVOITTUVAT OHJELMISTOT:

  • Mac OS X versio 10.3.9
  • Mac OS X Server versio 10.3.9
  • Mac OS X versio 10.4 ja sitä uudemmat versiot versioon Mac OS X 10.4.10 asti
  • Mac OS X Server versio 10.4 ja sitä uudemmat versiot versioon Mac OS X Server 10.4.10 asti

Tarkemmat tiedot haavoittuvista versioista saa valmistajan julkaisemasta tiedotteesta.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot ja käyttöjärjestelmäkomponentit valmistajan ohjeiden mukaan.

LISÄTIETOA:

PÄIVITYSHISTORIA:

15.11.2007, kello 8.21: Julkaistu

Sivua päivitetty 15.11.2007   Tulostusversio Tulostusversio