Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2008 > CERT-FI haavoittuvuustiedote 123/2008

CERT-FI haavoittuvuustiedote 123/2008

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

10.10.2008

Useita haavoittuvuuksia korjattu Applen päivityksellä 2008-007

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
- ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- käyttövaltuuksien laajentaminen
- palvelunestohyökkäys
- suojauksen ohittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Apple on on julkaissut paketin päivityksiä, joilla korjataan useiden eri järjestelmäkomponenttien ja lisäohjelmistojen haavoittuvuuksia.

HAAVOITTUVAT OHJELMISTOT:

Applen mukaan haavoittuvia käyttöjärjestelmäversioita ovat Mac OS X 10.4.11, Mac OS X 10.5.5 joiden seuraavia osia päivitykset ja parannukset koskevat:

  • Apache: Useita haavoittuvuuksia joita voidaan käyttää esim. cross-site request väärennöksiin
  • Certificates: Useita luotettuja päämyöntäjiä lisätty sekä vanhoja varmenteita päivitetty uusimpiin versioihin
  • ClamAV: Useita haavoittuvuuksia korjattu, vakavin haavoittuvuus voi johtaa haitallisen ohjelmakoodin suorittamiseen
  • ColorSync: Tietyllä tavalla muokatun kuvatiedoston avaaminen voi johtaa sovelluksen kaatumiseen tai haitallisen ohjelmakoodin suoritukseen.
  • CUPS: Hyökkääjä voi suorittaa etäältä haitallista ohjelmakoodia käyttäjän 'lp' oikeustasolla
  • Finder: Työpöydälle tallennettu tiedosto voi aiheuttaa sovelluksen kaatumisen.
  • Launchd: Ohjelmistot eivät ohjelmiston pyynnöstä huolimatta käynnisty eristetyssä ympäristössä, ns. sandboxissa
  • libxslt: XML-dokumentin käsittely voi johtaa sovelluksen kaatumiseen tai haitallisen ohjelmakoodin suoritukseen
  • MySQL Server: Useita päivityksiä haavoittuvuuksiin joista vakavin voi johtaa haitallisen ohjelmakoodin suoritukseen
  • Networking: Paikallinen käyttäjä voi saada järjestelmätason käyttöoikeudet IPC-komponentin puskurinylivuotohaavoittuvuuden
  • PHP: Korjattu useita eri haavoittuvuuksia PHP 4.4.8:ssa joista vakavin voi johtaa haitallisen ohjelmakoodin suoritukseen
  • Postfix: Hyökkääjä voi lähettää suoraan paikallisille käyttäjille sähköpostia Postfixin konfiguraatiotiedostoissa olevan virheen takia
  • PSNormalizer: Tietyllä tavalla tehdyn postscript-tiedoston avaaminen voi mahdollistaa ohjelman kaatumisen tai haitallisen ohjelmakoodin suorituksen
  • QuickLook: Lataamalla tai avaamalla tietyllä tavalla tehty Excel-tiedosto voi mahdollistaa ohjelman kaatumisen tai haitallisen ohjelmakoodin suorituksen
  • rlogin: Järjestelmät jotka ovat käsin konfiguroitu käyttämään rloginia ja host.equiv-tiedostoa voivat odottamatta sallia root-käyttäjän kirjautumisen
  • Script Editor: Paikallinen käyttäjä voi saada toisen paikallisen Script Editoria käyttävän käyttäjän oikeudet
  • Single Sign-On: sso_util komennon tietoturvaa on parannettu laajentamalla käyttö tukemaan SSO_PASSWD_PATH ympäristömuuttujaa
  • Tomcat: Useita eri haavoittuvuuksia, joista vakavin voi johtaa Cross Site Scriptingin avulla toteutettavaan hyökkäykseen
  • vim: Useita eri haavoittuvuuksia Vim 7.0:ssa, joista vakavin voi johtaa haitallisen ohjelmakoodin suoritukseen käsiteltäessä tietyllä tavalla tehtyjä tiedostoja.
  • Weblog: Lisäämällä käyttäjä useilla lyhyillä nimillä pääsyoikeuslistalle voi johtaa weblogin käyttöoikeuksien tarkistamisen lopettamiseen

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Seuraa ohjelmistovalmistajan ohjeita korjaavien ohjelmistopäivitysten asentamiseksi.

LISÄTIETOA:

PÄIVITYSHISTORIA:

10.10.2008, kello 13.06: Julkaistu

Sivua päivitetty 10.10.2008   Tulostusversio Tulostusversio