S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 18 août 2005
N° CERTA-2005-AVI-316
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Mac OS X

Gestion du document

Référence CERTA-2005-AVI-316
Titre Multiples vulnérabilités dans Mac OS X
Date de la première version 18 août 2005
Date de la dernière version 18 août 2005
Source(s) Bulletin de sécurité 2005-007 d'Apple
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service
  • Exécution de code arbitraire
  • Élévation de privilèges

Systèmes affectés

  • Mac OS X 10.4.2 Client et versions antérieures ;
  • Mac OS X 10.4.2 Serveur et versions antérieures ;
  • Mac OS X 10.3.9 Client et versions antérieures ;
  • Mac OS X 10.3.9 Serveur et versions antérieures.

Il est à noter que les versions précédentes de Mac OS X, notamment Jaguar (Mac OS X 10.2), ne font pas l'objet d'un correctif.

Résumé

Apple propose un correctif pour Panther (Mac OS X 10.3) et Tiger (Mac OS X 10.4) qui corrige plus de 40 vulnérabilités.

Description

De nombreuses vulnérabilités sont corrigées dans la mise à jour de Mac OS X 10.3 et Mac OS X 10.4. Ces vulnérabilités touchent par exemple les services, applications ou bibliothèques suivantes :

  • Apache 2 (CAN-2005-1344, CAN-2004-0942, CAN-2004-0885, CAN-2004-1083 et CAN-2004-1084) ;
  • AppKit (CAN-2005-2501, CAN-2005-2502 et CAN-2005-2503) ;
  • Bluetooth (CAN-2005-2504) ;
  • CoreFoundation (CAN-2005-2505 et CAN-2005-2506) ;
  • CUPS (CAN-2005-2525 et CAN-2005-2526) ;
  • Directory Services (CAN-2005-2507, CAN-2005-2508 et CAN-2005-2519) ;
  • HItoolbox (CAN-2005-2513) ;
  • Kerberos (CAN-2004-1189, CAN-2005-1174, CAN-2005-1175, CAN-2005-1689 et CAN-2005-2511) ;
  • loginwindow (CAN-2005-2509) ;
  • Mail (CAN-2005-2512) ;
  • MySQL (CAN-2005-0709, CAN-2005-0710 et CAN-2005-0711) ;
  • OpenSSL (CAN-2004-0079 et CAN-2004-0112) ;
  • ping (CAN-2005-2514) ;
  • QuartzComposerScreenSaver (CAN-2005-2515) ;
  • Safari (CAN-2005-2516 et CAN-2005-2517) ;
  • SecurityInterface (CAN-2005-2520) ;
  • servermgrd (CAN-2005-2518) ;
  • servermgrd_ipfilter (CAN-2005-2510) ;
  • SquirrelMail (CAN-2005-1769 et CAN-2005-2095) ;
  • traceroute (CAN-2005-2521) ;
  • WebKit (CAN-2005-2522) ;
  • Weblog Server (CAN-2005-2523) ;
  • X11 (CAN-2005-0605) ;
  • zlib (CAN-2005-2096 et CAN-2005-1849).

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. Documentation).

Documentation

Gestion détaillée du document

    le 18 août 2005
    version initiale.