Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2004-AVI-386

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 03 décembre 2004
No CERTA-2004-AVI-386

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Multiples vulnérabilités dans Mac OS X

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-386

Gestion du document


Tableau 1: Gestion du document
Référence CERTA-2004-AVI-386
Titre Multiples vulnérabilités dans Mac OS X
Date de la première version 03 décembre 2004
Date de la dernière version -
Source(s) Bulletin de sécurité d'Apple du 02 décembre 2004
Pièce(s) jointe(s)  

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

  • Elévation de privilèges ;
  • déni de service ;
  • exécution de code arbitraire ;
  • atteinte à la confidentialité des données.

2 Systèmes affectés

  • Apple Mac OS X v10.3.6 ;
  • Apple Mac OS X v10.2.8 ;
  • Apple Mac OS X Server v10.3.6 ;
  • Apple Mac OS X Server v10.2.8 ;

3 Résumé

De multiples vulnérabilités découvertes dans le système d'exploitation Mac OS X d'Apple peuvent être exploitées par un utilisateur mal intentionné afin de réaliser un déni de service, d'exécuter du code arbitraire, d'élever ses privilèges ou de porter atteinte à l'intégrité des données.

4 Description

  • De multiples vulnérabilités dans le serveur web Apache permet à un utilisateur malveillant d'élever localement ses privilèges, d'effectuer un déni de service à distance et d' exécuter du code arbitraire sur le serveur vulnérable (cf. références CAN-2004-1082, CAN-2003-0020, CAN-2003-0987, CAN-2004-0174, CAN-2004-0488, CAN-2004-0492, CAN-2004-0885, CAN-2004-0940, CAN-2004-1083, CAN-2004-1084 et bulletin de sécurité CERTA-2004-AVI-370 du CERTA) ;
  • une vulnérabilité est présente dans Apache 2 permettant à un individu mal intentionné d'effectuer un déni de service à distance ou d'élever ses privilèges sur le serveur affecté (cf. références CAN-2004-0747, CAN-2004-0786, CAN-2004-0751, CAN-2004-0748 et bulletin de sécurité CERTA-2004-AVI-313 du CERTA) ;
  • Deux vulnérabilités présentes dans Appkit permettent à une personne malveillante d'exécuter du code arbitraire, d'effectuer un déni de service ou de porter atteinte à la confidentialité des données (cf. références CAN-2004-1081, CAN-2004-0803, CAN-2004-0804 et CAN-2004-0886) ;
  • une vulnérabilité découverte dans Cyrus IMAP permet à un utilisateur mal intentionné de porter atteinte à la confidentialité des données portant sur les boîtes de messagerie électroniques présentes sur le système (cf. références CAN-2004-1089 et bulletin de sécurité CERTA-2004-AVI-379 du CERTA) ;
  • une vulnérabilité dans HIToolbox permet à un utlisateur mal intentionné de forcer la fermeture de l'application au moyen d'une combinaison de touche spéciale (cf. référence CAN-2004-1085) ;
  • une vulnérabilité dans le protocole d'authentification Kerberos permet à une personne malveillante d'effectuer un déni de service (cf. références CAN-2004-0642, CAN-2004-0643, CAN-2004-0644, CAN-2004-0772 et bulletin de sécurité CERTA-2004-AVI-362 du CERTA) ;
  • une vulnérabilité découverte dans Postfix permet à un individu mal intentionné d'envoyer des messages électronique sans avoir été correctement authentifié par un serveur Postfix utilisant CRAM-MD5 (cf. référence CAN-2004-1088) ;
  • une vulnérabilité de type débordement de mémoire est présente dans PSNormalizer. Lors d'une conversion de document PostScript en PDF (Portable Document Format). Cette vulnérabilité permet à une personne malveillante d'exécuter du code arbitraire à distance (cf. référence CAN-2004-1086) ;
  • une vulnérabilité présente dans le serveur de flux QuickTime permet à un utilisateur mal intentionné d'effectuer un déni de service au moyen de requêtes malicieusement constituées (cf. référence CAN-2004-1123) ;
  • Deux vulnérabilités découvertes dans le navigateur Internet Safari permettent à une personne malveillante d'afficher de fausses informations dans Safari, notamment au moyen d'une page HTML malicieusement constituée (cf. références CAN-2004-1121 et CAN-2004-1122) ;
  • une vulnérabilité dans Terminal affiche à l'utilisateur que l'option 'Secure Keyboard Entry' est activée alors qu'elle ne l'est pas (cf. référence CAN-2004-1087).

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. Documentation).

6 Documentation

Gestion détaillée du document

03 décembre 2004
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 24/05/2012