You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1154

[Mac/OS X] Update behebt mehrere Sicherheitsprobleme
(2003-10-09 23:03:42.188122+00) Druckversion

Quelle: http://docs.info.apple.com/article.html?artnum=61798

Dieses allgemeines Update enthält unter anderem alle Security-Updates für OS X seit Juni 2003 und behebt sieben Sicherheitsprobleme. Die erste Version (2003-09-22; Build 6R65) des Updates führte vereinzelt zu Problemen und wurde daher zurückgezogen. Mit der aktuellen zweiten Version vom 2003-10-04 treten diese Probleme nicht mehr auf. Das Update aktualisiert Mac OS X 10.2.6 oder 10.2.7 einheitlich auf Mac OS X 10.2.8 (Build 6R73).

Betroffene Systeme

  • Mac OS X bis 10.2.6/10.2.7 (incl. der G5- und Server-Variante)

Einfallstor

  1. Senden speziell formulierter ASN.1-Codierungen an ein verarbeitendes System
  2. SSH-Verbindungen (Port 22/TCP)
  3. derzeit unklar
  4. FTP-Verbindungen
  5. Senden von arp requests

Auswirkung

  1. Ausführung beliebigen Programmcodes mit den Privilegien des SSL/TLS-Prozesses
    (mindestens remote user compromise)
  2. nach derzeitigem Kenntisstand: Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung
    (remote root compromise)
  3. Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung
    (remote root compromise)
  4. Ausführung beliebigen Programmcodes mit den Privilegien des fb_realpath() aufrufenden Prozesses
    (local user compromoise)
  5. nicht Verfügbarkeit der Netzwerkverbindung
    (Denial of Service)

Typ der Verwundbarkeit

  1. double-free bug
  2. buffer overflow bug
  3. buffer overflow bug
  4. off-by-one error
  5. resource starvation

Gefahrenpotential

  1. hoch bis sehr hoch
  2. sehr hoch (falls tatsächlich ausnutzbar)
  3. sehr hoch
  4. hoch bis sehr hoch
  5. mittel

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Dieses Update behebt folgende Sicherheitsprobleme:

  1. Mehrere Schwachstellen in den OpenSSL-Bibliotheken können u.a. dazu führen, daß beliebiger Programmcode mit den Privilegien des SSL/TLS-Prozesses ausgeführt werden kann. Dies kann u.U. zur Kompromittierung des beherbergenden Rechnersystems führen. Details finden sich in der RUS-CERT-Meldung#1152 Es handelt sich um ein sog."Vendor-Patch", d.h. die wurde keine neue Version benutzt, sondern nur die Sicherheitsprobleme behoben. Daher meldet sich OpenSSL nach dem Update nach wie vor mit der Version 0.9.6i.
  2. Mehrere Schwachstellen in der Pufferverwaltung von OpenSSL können zur Kompromittierung des beherbergenden Rechnersystems ausgenutzt werden. Details finden sich in der RUS-CERT-Meldung#1147. Auch hier handelt es sich um einen Vendor-Patch.
  3. Eine Schwachstelle in der Adreß- und Regelverarbeitung kan zur Kompromittierung des beherbergenden Rechnersystems ausgenutzt werden. Details finden sich in der RUS-CERT-Meldung#1149.
  4. Eine Schwachstelle in der Funktion fb_realpath() kann dazu ausgenutzt werden, beliebigen Programmcode mit den Priviliegien des diese Funktion aufrufenden Prozesses ausgeführt werden.
  5. Eine Schwachstelle in der Funktion arplookup() kann durch das Senden einer großen Anzahl von arp requests dazu ausgenutzt werden, das beherbergende System in einen unbenutzbaren Zustand zu bringen.

Gegenmaßnahmen
Apple stellt ein Update zur Verfügung:

Vulnerability ID

  1. CAN-2003-0543, CAN-2003-0544, CAN-2003-0545
  2. CAN-2003-0693, CAN-2003-0695, CAN-2003-0682
  3. CAN-2003-0694, CAN-2003-0681
  4. CAN-2003-0466
  5. CAN-2003-0804

Weitere Information zu diesem Thema

Weitere Artikel zu diesem Thema

(sp)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.