 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 09 septembre
2004
No CERTA-2004-AVI-309 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Mac OS X
Tableau 1: Gestion du document
| Référence |
CERTA-2004-AVI-309 |
| Titre |
Multiples
vulnérabilités dans Mac OS X |
| Date de la première
version |
09 septembre 2004 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Apple du 07 Septembre
2004 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- déni de service ;
- atteinte à la confidentialité des
données ;
- atteinte à l'intégrité des
données.
- Mac OS X versions 10.2.8, 10.3.4 et 10.3.5 ;
- Mac OS X Server versions 10.2.8, 10.3.4 et 10.3.5.
De nombreuses vulnérabilités sont
présentes dans Mac OS X et Mac OS X Server permettant
d'exécuter du code arbitraire à distance,
d'effectuer des dénis de service ou de porter atteinte
à la confidentialité et à
l'intégrité des données.
Plusieurs vulnérabilités sont présentes
dans Mac OS X. Certaines de ces vulnérabilités
ont déjà fait l'objet d'un avis du CERTA :
- Une vulnérabilité est présente dans
Apache 2 permettant à un individu mal
intentionné d'effectuer un déni de service sur
le serveur affecté (cf. avis CERTA-2004-AVI-210 du
CERTA, références CVE CAN-2004-0493 et
CAN-2004-0488) ;
- deux vulnérabilités dans le composant
CoreFoundation permettent à un
utilisateur local mal intentionné d'exécuter du
code arbitraire et d'élever ses privilèges
(vulnérabilités CAN-2004-0821 et CAN-2004-0822)
;
- une vulnérabilité dans
IPSec
permet à un individu mal intentionné de
contourner certaines restrictions de sécurité
(cf. avis CERTA-2004-AVI-259 du CERTA et
référence CVE CAN-2004-0607) ;
- une vulnérabilité dans
Kerberos permet à un utilisateur mal
intentionné d'exécuter du code arbitraire
à distance (cf. avis CERTA-2004-AVI-286 du CERTA et
référence CVE CAN-2004-0523) ;
- une vulnérabilité du service FTP du
logiciel
lukemftpd permet à un
utilisateur mal intentionné préalablement
authentifié d'exécuter du code arbitraire
à distance ou d'effectuer un déni de service
(cf. avis CERTA-2004-AVI-272 du CERTA et
référence CVE CAN-2004-794) ;
- une vulnérabilité dans la gestion des mots
de passe de l'annuaire
OpenLDAP
(vulnérabilité CAN-2004-0823) ;
- une vulnérabilité dans l'utilitaire
SCP d'OpenSSH permet de porter atteinte à
l'intégrité des données (cf. avis
CERTA-2004-AVI-308 du CERTA et référence CVE
CAN-2004-0175) ;
- une vulnérabilité dans
PPPDialer permet à un utilisateur mal
intentionné d'écraser des fichiers arbitraires
présents sur le système affecté afin
d'élever ses privilèges
(vulnérabilité CAN-2004-0824) ;
- une vulnérabilité présente dans le
serveur de streaming
QuickTime permet à
un utilisateur mal intentionné d'effectuer un
déni de service (vulnérabilité
CAN-2004-0825) ;
- une vulnérabilité dans l'application de
copie de fichiers
rsync permet à un
utilisateur mal intentionné d'accéder à
des fichiers situés en dehors du répertoire de
base (cf. avis CERTA-2004-AVI-271 du CERTA et
référence CVE CAN-2004-0426) ;
- deux vulnérabilités présentes dans
le navigateur
Safari permet à un individu
mal intentionné de substituer l'identité
réelle d'un site (vulnérabilité
CAN-2004-0361) et d'injecter du code arbitraire à
distance (vulnérabilité CAN-2004-0720) ;
- une vulnérabilité dans le webmail
SquirrelMail permet à un individu mal
intentionné d'exécuter une requête SQL
non sollicitée (cf. avis CERTA-2004-AVI-263 du CERTA
et référence CVE CAN-2004-0521) ;
- une vulnérabilité dans l'application
réseau
TCPDUMP permet à un
utilisateur mal intentionné d'effectuer un arrêt
brutal de TCPDUMP par l'envoi de paquets
malicieux (cf. avis CERTA-2004-AVI-106 du CERTA et
référence CVE CAN-2004-0183 et
CAN-2004-0184).
Appliquer le correctif fournit par l'éditeur suivant
la version affectée :
- 09 septembre 2004
- version initiale.
CERTA
2012-01-04
|
|
)
