MacOS X Sicherheitsupdate | Computerclub AUGE e.V.

######################################################################

CERT-Bund -- Warn- und Informationsdienst

######################################################################

KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN

ID: CB-K04/0792
Titel: Update fuer Mac OS X behebt mehrere Schwachstellen
Datum: 08.09.2004
Software: Mac OS X
Version: 10.3.5, 10.3.4, 10.2.8, je Server wie Client
Plattform: Apple Macintosh
Auswirkung: Ausfuehren beliebigen Programmcodes
Remoteangriff: Ja
Risiko: hoch
Bezug:

######################################################################

Ein Sicherheitsupdate fuer Mac OS X behebt mehrere Schwachstellen:

o CAN-2004-0493, CAN-2004-0488: Denial of Service in Apache2
o CAN-2004-0821, CAN-2004-0822: lokale Privilegieneskalatioenn in CoreFoundation-Bibliotheken
o CAN-2004-0607: Umgehen von Sicherheitsmassnahemn bei IPSec
o CAN-2004-0523: Pufferueberlaufschwachstellen bei MIT Kerberos 5
o CAN-2004-0794: Race Condition bei lukemftpd erlaubt Ausfuehrung von Code
o CAN-2004-0823: korrigierte Verwendung von kryptierten Passworten (mittels 'crypt') in OpenLDAP
o CAN-2004-0175: 'Directory Traversal' in OpenSSH scp
o CAN-2004-0824: Schwachstelle in PPPDialer erlaubt lokale Privilegieneskalation
o CAN-2004-0825: Denial of Service gegen Quicktime Streaming Server
o CAN-2004-0426: Directory Traversal bei rsync
o CAN-2004-0361, CAN-2004-0720, CAN-2004-0743: Denial of Service, 'Code Injection' und Fehlerhaftes Senden von Formulardaten bei Safari
o CAN-2004-0521: SQL-injection bei Squirrelmail
o CAN-2004-0183, CAN-2004-0184: Denial-of-Service gegen tcpdump
o CAN-2002-1363, CAN-2004-0421, CAN-2004-0597, CAN-2004-0598, CAN-2004-0599: mehrere Schwachstellen in libpng ermoeglichen Codeausfuehrung
o CAN-2004-0744: 'Rose-Attack' gegen TCP/IP-Subsystem wurde gefixt

[1]

Mit freundlichen Gruessen
das Team CERT-Bund

=================================================================
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund

Telefon +49-228-9582-110 / FAX +49-228-9582-427
/
=================================================================

=======================================================================
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
=======================================================================