Actualización de seguridad de Mac OS X 10.2.8 y 10.3.3

-Se han corregido algunas vulnerabilidades en Apache 2 que podían ser

explotadas por usuarios maliciosos para inyectar caracteres maliciosos

en los archivos de traza y provocar una denegación de servicio.

-Se han corregido dos vulnerabilidades en la implementación de IPSec que

podían ser explotadas por usuarios maliciosos para perpetrar ataques

“man-in-the-middle”, realizar conexiones no autorizadas o denegaciones

de servicio.

-Se ha corregido una vulnerabilidad en

AppleFileServer que puede ser explotada por usuarios maliciosos para

comprometer un sistema vulnerable. El problema se debe a un

desbordamiento de búfer cuando se realiza en análisis de paquetes AFP

“LoginExt” con un campo que sobrepasa el tamaño establecido, y

permitiría la ejecución de código con privilegios de root.

-Se ha

corregido una vulnerabilidad (sin especificar) en CoreFoundation cuando

se tratan variables de entorno, lo que podría permitir la realización de

escaladas de privilegios locales.

-Se ha corregido una

vulnerabilidad sin especificar en RAdmin, que se presenta cuando maneja

peticiones grandes y que podría ser explotado para comprometer el

sistema. Según Apple, este problema sólo afectaría a la versión 10.2.8.

Como en muchas otras ocasiones, la gravedad de los problemas sin especificar

son probablemente mayor que las sugeridas por el fabricante. Ya que, por

ejemplo, el tercero de los problemas descritos anteriormente se describe

por el fabricante con un simple “mejora del manejo de claves largas”,

cuando según el aviso de @stake, esta vulnerabilidad permite un

desbordamiento de búfer y puede ser explotada para comprometer un

sistema.

Las direcciones para la descarga de la actualización de

seguridad 2004-05-03 son las siguientes:

Mac OS X 10.3.3 “Panther”

Mac OS X Server 10.3.3

Mac OS X 10.2.8 “Jaguar”

Mac OS X Server 10.2.8