Appleがセキュリティアップデートをリリース

AppleがMac OS X 10.5と10.4の脆弱性に対応するセキュリティアップデートをリリースした模様。脆弱性の修正以外の修正パッチも多数含まれている。

■Mac OS Xのアップデート公開、深刻な脆弱性を修正
http://www.itmedia.co.jp/news/articles/0809/16/news028.html

文中の「セキュリティアップデート2008-006」(日本語版)は、まだ公開されていないくさい。英語版はリリースされている模様。

■About the security content of Mac OS X v10.5.5 and Security Update 2008-006
http://support.apple.com/kb/HT3137

メインとなる脆弱性は、US-CERTからもアナウンスされている。

■MAC OS X file sharing allows authenticated remote access to files and directories
http://www.kb.cert.org/vuls/id/126787

MAC OS X file sharing allows authenticated remote access to files and directories

Overview
Mac OS X Leopard does not accurately reflect which files and directories are available via sharing.

I. Description
Mac OS X Leopard (10.5.x) allows files and directories to be shared via a “Shared Folders” feature. OS X lists the folders that are shared using this feature, however the list is incomplete. An authenticated user can access his home directory remotely, and an authenticated administrator can remotely access the entire hard drive.

II. Impact
A system that is configured with Shared Folders enabled may be exposing more files and directories than expected.

III. Solution
Apply an update

This issue is addressed in Apple Mac OS X 10.5.5. This update causes OS X to more accurately explain which files and directories are shared. Please see the Apple Advisory for more details.

Systems Affected
Vendor Status Date Updated
Apple Computer, Inc. Vulnerable 15-Sep-2008

References

http://support.apple.com/kb/HT3137

Credit

Thanks to Russ Andersson for reporting this vulnerability.

This document was written by Will Dormann.

誤訳:
MAC OS Xにおけるファイル共有が、認証されたリモートアクセスをファイルやディレクトリに許可する

概要
Mac OS X Leopardはファイルとディレクトリが共有経由で利用可能である状態を反映していない。

I. 詳細
Mac OS X Leopard (10.5.x)は、”Shared Folders”機能経由で共有されることをファイルとディレクトリに許可する。OS Xはこの機能を利用して共有されるフォルダを一覧するが、この一覧は不適切である。ある認証されたユーザが彼のホームディレクトリにリモートでアクセス可能となり、ある認証された管理者はハードドライブ全体をリモートでアクセス可能となる。

II. 影響
共有フォルダが有効に設定されたシステムは、予想以上に多くのファイルやディレクトリ名がさらされる可能性がある。

III. 解決方法
アップデートの適用
この問題はApple Mac OS X 10.5.5で修正された。このアップデートはOS Xに、共有されるファイルとディレクトリにより適切な説明をさせている。詳細はAppleのアドバイザリを参照のこと。

参照
http://support.apple.com/kb/HT3137

クレジット
この脆弱性をレポートしたRuss Andersson氏に敬意を表する。

このドキュメントはWill Dormannが執筆した。

コメントを残す

メールアドレスが公開されることはありません。