{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Apple Mac OS X Server v10.3.5 ;","product":{"name":"N/A","vendor":{"name":"Apple","scada":false}}},{"description":"Apple Mac OS X Server v10.2.8.","product":{"name":"N/A","vendor":{"name":"Apple","scada":false}}},{"description":"Apple Mac OS X v10.3.5 ;","product":{"name":"N/A","vendor":{"name":"Apple","scada":false}}},{"description":"Apple Mac OS X v10.2.8 ;","product":{"name":"N/A","vendor":{"name":"Apple","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\n-   Le service AFP est un protocole d'Apple qui permet le partage de\n    fichiers :\n    -   Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans ce service permet \u00e0 un\n        utilisateur connect\u00e9 en tant qu'invit\u00e9 d'y r\u00e9aliser un d\u00e9ni de\n        service. (CVE CAN-2004-0921)\n    -   Une seconde vuln\u00e9rabilit\u00e9 dans le service AFP permet \u00e0 un\n        utilisateur connect\u00e9 en tant qu'invit\u00e9 de porter atteinte \u00e0\n        l'int\u00e9grit\u00e9 des donn\u00e9es du syst\u00e8me d\u00fbe \u00e0 une gestion incorrecte\n        des groupes. (CVE CAN-2004-0922)\n\n-   Le service CUPS (Common Unix Printing System) met en \u0153uvre un\n    protocole Internet d'impression (IPP) :\n    -   Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans ce service permet \u00e0 une personne\n        malveillante de r\u00e9aliser un d\u00e9ni de service au moyen d'un paquet\n        UDP malicieusement constitu\u00e9 \u00e0 destination du port IPP (CVE\n        CAN-2004-0558).\n    -   Une seconde vuln\u00e9rabilit\u00e9 dans le module d'impression \u00e0 distance\n        authentifi\u00e9 permet \u00e0 une personne de porter atteinte \u00e0 la\n        confidentialit\u00e9 des donn\u00e9es du syst\u00e8me, en r\u00e9v\u00e9lant les mots de\n        passe contenus dans le journal des \u00e9v\u00e9nements du syst\u00e8me\n        d'impression. (CVE CAN-2004-0923)\n\n-   L'application NetInfoManager permet de surveiller l'activit\u00e9 des\n    fichiers partag\u00e9s :\n\n    Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans l'application NetInfoManager permet\n    \u00e0 un utilisateur de porter atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es du\n    syst\u00e8me vuln\u00e9rable. En exploitant cette vuln\u00e9rabilit\u00e9, une personne\n    malveillante peut activer le compte root qu'il est ensuite\n    impossible de d\u00e9sactiver au moyen de NetInfoManager. (CVE\n    CAN-2004-0924)\n\n-   L'application Postfix permet le transport de courrier \u00e9lectronique :\n\n    Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans Postfix lorsque le protocole\n    SMTPD-AUTH est activ\u00e9, permet \u00e0 un utilisateur mal intentionn\u00e9 de\n    r\u00e9aliser un d\u00e9ni de service. (CVE CAN-2004-0925)\n\n-   Le lecteur multim\u00e9dia Quicktime pr\u00e9sente une vuln\u00e9rabilit\u00e9 de type\n    d\u00e9bordement de m\u00e9moire (buffer overflow) lors du d\u00e9codage d'une\n    image .bmp. Une personne malveillante peut ainsi ex\u00e9cuter un code\n    arbitraire sur la machine vuln\u00e9rable gr\u00e2ce \u00e0 un fichier .bmp\n    malicieusement constitu\u00e9. (CVE CAN-2004-0926)\n\n-   Le service Server Admin offre une interface graphique \u00e0\n    l'utilisateur pour configurer et surveiller le r\u00e9seau et les\n    services Internet :\n\n    une vuln\u00e9rabilit\u00e9 d\u00e9couverte dans ce service permet \u00e0 une personne\n    mal intentionnn\u00e9e de porter atteinte \u00e0 la confidentialit\u00e9 des\n    donn\u00e9es. Server Admin dialogue avec le service Server Communication\n    au moyen du protocole SSL, en utilisant des certificats fournis \u00e0\n    titre d'exemple lors de l'installation par d\u00e9faut des syst\u00e8mes. (CVE\n    CAN-2004-0927)\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[],"reference":"CERTA-2004-AVI-331","revisions":[{"description":"version initiale.","revision_date":"2004-10-07T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"D\u00e9ni de service"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"De multiples vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans le syst\u00e8me d'exploitation Mac\nOS X d'Apple peuvent \u00eatre exploit\u00e9es par un utilisateur mal intentionn\u00e9\nafin de r\u00e9aliser un d\u00e9ni de service ou d'ex\u00e9cuter du code arbitraire \u00e0\ndistance.\n\nL'int\u00e9grit\u00e9 et la confidentialit\u00e9 des donn\u00e9es pr\u00e9sentes sur le syst\u00e8me\nvuln\u00e9rable peuvent \u00eatre affect\u00e9es.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Mac OS X","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 d'Apple du 30 septembre 2004","url":"http://docs.info.apple.com/article.html?artnum=61798"}]}