Apple Mac OS X Server 10.6.3
Apple Mac OS X Server 10.6.2
Apple Mac OS X Server 10.6.1
Apple Mac OS X Server 10.5.8
Apple Mac OS X Server 10.5.7
Apple Mac OS X Server 10.5.6
Apple Mac OS X Server 10.5.5
Apple Mac OS X Server 10.5.4
Apple Mac OS X Server 10.5.3
Apple Mac OS X Server 10.5.2
Apple Mac OS X Server 10.5.1
Apple Mac OS X Server 10.6
Apple Mac OS X Server 10.5
Apple Mac OS X 10.6.3
Apple Mac OS X 10.6.2
Apple Mac OS X 10.6.1
Apple Mac OS X 10.5.8
Apple Mac OS X 10.5.7
Apple Mac OS X 10.5.6
Apple Mac OS X 10.5.5
Apple Mac OS X 10.5.4
Apple Mac OS X 10.5.3
Apple Mac OS X 10.5.2
Apple Mac OS X 10.5.1
Apple Mac OS X 10.6
Apple Mac OS X 10.5
Apple Mac OS X Server 10.6.2
Apple Mac OS X Server 10.6.1
Apple Mac OS X Server 10.5.8
Apple Mac OS X Server 10.5.7
Apple Mac OS X Server 10.5.6
Apple Mac OS X Server 10.5.5
Apple Mac OS X Server 10.5.4
Apple Mac OS X Server 10.5.3
Apple Mac OS X Server 10.5.2
Apple Mac OS X Server 10.5.1
Apple Mac OS X Server 10.6
Apple Mac OS X Server 10.5
Apple Mac OS X 10.6.3
Apple Mac OS X 10.6.2
Apple Mac OS X 10.6.1
Apple Mac OS X 10.5.8
Apple Mac OS X 10.5.7
Apple Mac OS X 10.5.6
Apple Mac OS X 10.5.5
Apple Mac OS X 10.5.4
Apple Mac OS X 10.5.3
Apple Mac OS X 10.5.2
Apple Mac OS X 10.5.1
Apple Mac OS X 10.6
Apple Mac OS X 10.5
問題の説明は下記となります
1)Apple Mac OS X CUPSウェブインターフェースXSRFセキュリティ問題(CVE-2010-0540 )
Class: Access Validation Error
CVE: CVE-2010-0540
Remote: Yes
Local: No
Published: Jun 15 2010 12:00AM
Updated: Jun 18 2010 08:19AM
Credit: Adrian 'pagvac' Pastor of GNUCITIZEN; Tim Starling
CUPSのウェブインターフェースのコードのバグがあり、XSFR(Cross Script Forgery Request)問題が出て、リモート側からマシンのAdmin権限を取る可能性が高い、本件の問題を使われたらリモート側からMacOSXのリモートセキュリティ攻撃が出来ます。攻撃が失敗した場合MacOSXでのDoS状態が出る可能性があります。
2)Apple Mac OS X CUPSウェブインターフェースのプライバシー漏れ問題(CVE-2010-1748)
Class: Unknown
CVE: CVE-2010-1748
Remote: Yes
Local: No
Published: Jun 15 2010 12:00AM
Updated: Jun 18 2010 08:19AM
Credit: Luca Carettoni
CUPSのウェブインターフェースのコードのバグがあり、リモート側からApple MacOSXのユーザとシステム情報を見れます。この情報を使われたら次のセキュリティ攻撃で使われる可能性が高いです。
再現仕方↓
本件セキュリティ問題の再現は上記の情報のままで再現が出来ます。
解決方法↓
セキュリティアップデートが出ましたが下記の情報となります
Apple Mac OS X Server 10.6
* Apple MacOSXServUpdCombo10.6.4.dmg
http://www.apple.com/support/downloads/
Apple Mac OS X 10.6
* Apple MacOSXUpdCombo10.6.4.dmg
http://www.apple.com/support/downloads/
リファレンス↓
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1748
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0540
http://www.securityfocus.com/bid/40889
http://www.securityfocus.com/bid/40897
http://www.apple.com/macosx/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0540
http://www.securityfocus.com/bid/40889
http://www.securityfocus.com/bid/40897
http://www.apple.com/macosx/
---
http://0day.jp
セキュリティチーム
0 件のコメント:
コメントを投稿