CERT-FI haavoittuvuustiedote 100/2008

1.8.2008

Applen tietoturvapäivityspaketti 2008-005 saatavilla

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - tietojen muokkaaminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Apple on julkaissut korjauspaketin 2008-005 Mac OS X -käyttöjärjestelmän versioille 10.4.11 ja 10.5.4. Päivityksellä korjataan haavoittuvuuksia Mac OS X -käyttöjärjestelmän komponenteista ja siihen saatavilla olevista sovellusohjelmistoista. Haavoittuvuudet liittyvät muun muassa BIND-, OpenSSL- ja PHP-ohjelmistojen Mac OS X -versioihin. BIND-päivitys rajoittaa CERT-FI haavoittuvuustiedotteessa 088/2008 kuvatun DNS-haavoittuvuuden hyväksikäyttömahdollisuuksia nimipalvelinohjelmistojen osalta huomattavasti. Korjauspaketissa tulee korjaus myös Mac OS X:n Open Scripting Architecturesta löytyneeseen haavoittuvuuteen, joka antaa hyökkääjälle mahdollisuuden laajentaa käyttövaltuuksiaan. Lisäksi mukana on korjauksia muun muassa palvelunestohyökkäyksen ja hyökkääjän omien komentojen suorittamisen mahdollistaviin haavoittuvuuksiin.

HAAVOITTUVAT OHJELMISTOT:

• Mac OS X versio 10.4.11, Mac OS X Server versio 10.4.11, Mac OS X versio 10.5.4, Mac OS X Server versio 10.5.4

Tarkemmat tiedot haavoittuvista ohjelmistoista saa valmistajan julkaisemista tiedotteista.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä käytössä olevat ohjelmistot uusimpiin versioihin päivitystoiminnolla tai osoitteesta:

http://www.apple.com/support/downloads/

LISÄTIETOA:

• http://support.apple.com/kb/HT2647
• CVE-2007-4850 CVE-2007-5135 CVE-2007-6199 CVE-2007-6200
• CVE-2008-0599 CVE-2008-0674 CVE-2008-1447 CVE-2008-2050
• CVE-2008-2051 CVE-2008-2320 CVE-2008-2321 CVE-2008-2322
• CVE-2008-2323 CVE-2008-2324 CVE-2008-2325 CVE-2008-2830
• CVE-2008-2952

PÄIVITYSHISTORIA:

1.8.2008, kello 10.10: Julkaistu

Sivua päivitetty 01.08.2008

Tulostusversio