[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[harden-mac:0716] [security-announce] APPLE-SA-2005-04-15 Mac OS X v10.3.9

---------------------------------------------------------------
これは <security-announce@xxxxxxxxxxxxxxx> に投稿された

APPLE-SA-2005-04-15 Mac OS X v10.3.9

という記事の翻訳です。この記事は以下の URL で見る事が出来ます。

<http://lists.apple.com/archives/security-announce/2005/Apr/ msg00000.html>

本翻訳は,米国 Apple Computer 並びに日本アップルコンピュータの許可
を得ていない翻訳であり,本翻訳に関して Apple Computer,アップルコ
ンピュータに問合せないようお願い致します。また翻訳者も内容及び翻訳に
関して何ら責任を持てない事をご了解下さい。

この投稿は翻訳者個人の発意による翻訳であり,本メーリングリスト並びに
それを提供している freeml.com とは無関係です。
---------------------------------------------------------------

APPLE-SA-2005-04-15 Mac OS X v10.3.9

Mac OS X v10.3.9 と Mac OS X Server v10.3.9 が入手可能になりまし
た。これは以下のセキュリティ強化を提供します。

Kernel
CVE-ID: CAN-2005-0969
問題の影響: カーネルの入力の妥当性検査の問題によりローカルでの
サービス拒否が起こりうる
解説: カーネルに Mac OS X では使われていないシステムコー
ルエミュレーション機能が含まれています。入力パラメー
タリストの不適当な妥当性検査によりヒープのオーバフ
ローが起こり,カーネルパニックによるサービス拒否が起
こりえました。このシステムコールエミュレーション機能
を削除することでこの問題に対処しました。この問題の報
告は Dino Dai Zovi によるものです。

Kernel
CVE-ID: CAN-2005-0970
問題の影響: SUID/SGID スクリプトのインストールを許すことにより,
権限昇格を引き起す
解説: Mac OS X は FreeBSD から SUID/SGID スクリプトを走
らせる能力を受け継いでいました。Apple はいかなる
SUID/SGID スクリプトも配布していませんが,システムで
そういったスクリプトをインストールしたり作ったりする
ことはできました。この更新で Mac OS X から SUID/SGID
スクリプトを走らせる能力を削除しました。この問題の報
告は,rattus.net の Bruce Murphy と Justin Walker
によるものです。

Kernel
CVE-ID: CAN-2005-0971
CERT: VU#212190
問題の影響: カーネルの semip() システムコールのスタックオーバフ
ローによりローカルでの権限昇格が起こりうる
解説: システムコールの引数の不適切な取扱いを利用して,昇
格された権限を得られる可能性がありました。この更新に
はカーネルオブジェクトへのアクセスをチェックする修正
が含まれています。

Kernel
CVE-ID: CAN-2005-0972
CERT: VU#185702
問題の影響: searchfs() システムコールにある整数オーバフローに
よって,特権を持たないローカルの利用者が昇格された特
権で任意のコードを実行することを許してしまう
解説: searchfs() システムコールに整数オーバフローの脆弱性
が含まれており,これにより特権を持たないローカルの利
用者が昇格された特権で任意のコードの実行することを許
してしまう可能性がありました。この更新で,この問題を
修正するために searchfs() に渡されるパラメータの入力
妥当性検査を追加しています。

Kernel
CVE-ID: CAN-2005-0973
問題の影響: ローカルシステムの利用者がシステム資源の飢餓状態を引き
起せる
解説: setsockopt() 呼出しへ渡される値の取扱いにある脆弱性
により,特権を持たない利用者が利用可能なメモリを使い果
たすことを許してしまっていました。この問題の報告は
Robert Stump <rds3792@xxxxxxxxxx> によるものです。

Kernel
CVE-ID: CAN-2005-0974
CERT: VU#713614
問題の影響: ローカルシステムの利用者がローカルでサービス拒否を引き
起せる
解説: 入力値の不適当なチェックが原因である nfs_mount() の脆
弱性により特権を持たないローカルの利用者がカーネルパ
ニックによりサービス拒否を作り出せました。

Kernel
CVE-ID: CAN-2005-0975
問題の影響: ローカルシステムの利用者がシステム動作を一時的に中断さ
せられる
解説: 特定の実行可能ファイルの解釈にある脆弱性により,特権を
持たないローカルの利用者がシステム動作を一時的に中断さ
せることができました。この問題の報告は Neil Archibald
によるものです。

Safari
CVE-ID: CAN-2005-0976
問題の影響: 遠隔のサイトがローカル領域で HTML や Javascript を走
らせることができる
解説: この更新で,遠隔のウェブサイトがローカル領域で
Javascript を読込んで実行させることができる脆弱性をな
くしました。

付記: Security Update でセキュリティの修正を提供するのが
Apple の標準的な慣例です。しかしカーネルのような中心的
なシステムコンポーネントへのセキュリティの修正が必要な場
合には,Software Update でそれをリリースします。

Mac OS X v10.3.9 と Mac OS X Server v10.3.9 はシステム環境設定のソフ
トウェアアップデート,もしくは Apple の Sofware Downloads ウェブサイト
から入手できます。
http://www.apple.com/support/downloads/

Mac OS X v10.3.9 用
Mac OS X v10.3.8 からアップデートする場合:
ファイル名: "MacOSXUpdate10.3.9.dmg"
SHA-1 ダイジェスト: 94ca918ce07f7318488cb5d3a0c754bb3a8c7b07

Mac OS X v10.3.9 用
Mac OS X v10.3 から v10.3.7 へアップデートする場合:
ファイル名: "MacOSXUpdateCombo10.3.9.dmg"
SHA-1 ダイジェスト: f74f7e76e7a04ec623046934980edbba8c4798c4

Mac OS X Server v10.3.9 用
Mac OS X Server v10.3.8 からアップデートする場合:
ファイル名: "MacOSXServerUpdate10.3.9.dmg"
SHA-1 ダイジェスト: 2a7ac87fa36f5883f1ccb8ef5ab83b2e840896bc

Mac OS X Server v10.3.9 用
Mac OS X Server v10.3 から v10.3.7 へアップデートする場合:
ファイル名: "MacOSXSrvrUpdCombo10.3.9.dmg"
SHA-1 ダイジェスト: 17d125118ca3b278b7558488364d0aacaf826dbd

情報は Apple Product Security ウェブサイトにもあります。
http://docs.info.apple.com/article.html?artnum=61798

---------------------------------------------------------------
翻訳:古暮涼 <kogule@xxxxxxxxxxxxxx>





--[PR]------------------------------------------------------------------
         ★☆★  「懸賞侍」見参!!  ★☆★
       侍ゲームで楽しく遊んで、豪華賞品を当てちゃおう!
            この戦国懸賞時代を制するのは君だ!
          さあ、バッサバッサと当ててしまえ!!!
      http://www.kenshosamurai.com/regist.html?aid=frml041227
------------------------------------------------------------------[PR]--
■GMO GROUP■ Global Media Online www.gmo.jp