image

Apple dicht sudo-lek in Mac OS X

vrijdag 13 september 2013, 15:18 door Redactie, 6 reacties

Apple heeft updates voor Mac OS X uitgebracht die bij elkaar 31 beveiligingslekken dichten, waaronder het sudo-lek dat het mogelijk maakte voor een lokale aanvaller om root-rechten te krijgen door de datum te resetten. In totaal kan een aanvaller via 9 lekken willekeurige code op het systeem uitvoeren.

De meeste kwetsbaarheden zijn verholpen in Apache, Bind, OpenSSL, PHP en PostgreSQL. Daarnaast behoort ook een probleem met het vergrendelingsscherm tot het verleden. In het geval screen sharing was ingeschakeld, de remotedesktopfunctie van Apple, was het mogelijk om het vergrendelingsscherm te omzeilen als een andere gebruiker was ingelogd. Mac OS X Mountain Lion 10.8.5 en Security Update 2013-004 zijn via Apple.com te downloaden.

Reacties (6)
13-09-2013, 16:11 door Anoniem
Alleen,is de patch nog niet te downloaden van de Aplle server in Nederland op het moment van schrijven.
Ik download op een Amerikaanse server de combo update 10.8.5 los voor mijn Imac.
Kan ook toch?.
13-09-2013, 18:41 door Anoniem
Niet te vergeten ook een Safari en een AirPort Base Station Firmware Update.

-> Safari 5.1.10 voor Mac OS X v10.6.8
met (jawel) een referentie naar Site sponsor & medewerkers Joost Pol and Daan Keuper ("CVE-2012-3748 : Joost Pol and Daan Keuper of Certified Secure working with HP TippingPoint's Zero Day Initiative")

Overzicht Apple Security Updates : https://support.apple.com/kb/HT1222

En verder, betreft het 17 'functionaliteiten' binnen OS X, waarbij er toch nog 7 ook voor het oudere OS X Snow Leopard (10.6) beschikbaar zijn.
Overigens lijkt m.i. het Sudo lek van minder belang dan de verholpen kwetsbaarheden in bijvoorbeeld; Quicktime, Installer, ImageIO & Coregraphics betreffende pdf's met jpg2000, ClamAV, en misschien wel de belangrijkste een update van het Certificate Trust Policy.

Verholpen kwetsbaarheden op een rij : https://support.apple.com/kb/HT5880

Wat betreft de standalone downloads :

Voor Lion - http://support.apple.com/kb/DL1677
Voor Snow Leopard - http://support.apple.com/kb/DL1678
Voor Mountain Lion - zie ik niet op de support pagina's, maar dat kan dan altijd (beter) via je interne directe software update functie.

Opmerkelijke melding bij het volgen van de link "http://www.apple.com/support/downloads/" (op de pagina http://support.apple.com/kb/HT5880) met een redirect naar : https://www.info.apple.com/downloadsredir.html/support/downloads/

"This Connection is Untrusted
..
Technical Details
www.info.apple.com uses an invalid security certificate.

The certificate is only valid for the following names:
*.akamaihd.net , *.akamaihd-staging.net , a248.e.akamai.net

(Error code: ssl_error_bad_cert_domain)"
13-09-2013, 20:11 door Briolet
Voor mountain lion is de Sudo version nu 1.7.4p6a, dus niet de nieuwere 1.8.x versie.
Voor snow leopard is men van versie 1.6.x naar 1.7.0 gegaan. Dus ook niet nieuwer dan strikt noodzakelijk.

Op zich vreemd omdat de Sudo site zelf aangeeft:

Sudo versions affected:
Sudo 1.6.0 through 1.7.10p6 and sudo 1.8.0 through 1.8.6p6 inclusive.

Beide nieuwe versies op de macs vallen dus nog steeds in de aangedane versies. Dus moeten we maar aannemen dat Apple de kwetsbaarheid via een andere route gedicht heeft.
13-09-2013, 20:52 door Anoniem
@Briolet
Bedoel je niet Lion ipv Snow Leopard?
14-09-2013, 11:22 door Briolet - Bijgewerkt: 14-09-2013, 11:24
Ik heb geen Lion, dus het betreft Snow Leopard, wat ik nog op 2 computers heb staan. Ik heb na deze update de versie bekeken met:

sudo -V

De security updates waren er voor alle systemen van vanaf Snow Leopard. Ouder wordt niet meer ondersteund.
15-09-2013, 01:33 door Anoniem
Door Briolet: Ik heb geen Lion, dus het betreft Snow Leopard, wat ik nog op 2 computers heb staan. Ik heb na deze update de versie bekeken met:

sudo -V

De security updates waren er voor alle systemen van vanaf Snow Leopard. Ouder wordt niet meer ondersteund.

Nog eens één en ander opgezocht / uitgezocht, vanaf OS 9.2.2 waar ik deze functionaliteit overigens niet kon vinden (Lang geleden dat ik 9.2.2 gebruikt heb maar eigenlijk een fijn snel systeem op een oud G3'tje!, als je internet kan missen, het kan nog een beetje aardig met Classilla).

OS X

- Op OS 10.2 is reeds Sudo version 1.6.6 te vinden waarmee het dan al binnen de kwetsbaarheden zou vallen.
- 10.3.9. 10.4.11, 10.5.8 specificeer ik hier niet nader (in het kader van security by obscurity).

- 10.6.8 Snow Leopard Sudo versie is Niet geupdated met de laatste security update 2013-004 ten opzichte van 2013-003.
De Sudo versie blijft volgens mij gelijk, dus staan op Sudo version 1.7.0.
Snow leopard staat ook niet vermeld in de nadere specificatie van Apple bij de security update 2013-004, https://support.apple.com/kb/HT5880 (reden waarom ik het nog eens ben gaan nakijken).

- In geval bij Lion 10.7.5 de laatste security update nog niet heeft plaatsgevonden betreft de Sudo versie Sudo version 1.7.4p6 .
Die is dan bijna gelijk aan een geupdate versie voor Mountain Lion 10.8, het verschil zit hem dan in het 'a'-tje, speciale 'A'ppel versie toevoeging?

Interessante vragen die dan overblijven is of eigenlijk alle versies van OS X voor deze kwetsbaarheid kwetsbaar zijn, maar de onderzoekers dit alleen hebben getest onder Lion 10.7 en Mountain Lion 10.8?
Waarom Apple dit niet patcht voor Snow Leopard (eerdere OS X-en hebben geen security support meer), geen prioriteit of niet kwetsbaar?

Evengoed vind ik de heisa hierom groter dan de kans op misbruik daarvan. Dat ligt vermoedelijk toch wat anders bij de andere gepatchte kwetsbaarheden die een veel groter en breder risico voor gebruikers kunnen opleveren.

p.s., wat is het path van de Sudo directory zelf, ik kon hem niet vinden.
Voordat ik er een Sudo update pkg'tje (sudo-1.8.7.pkg, ook zelfs nog voor 10.5 beschikbaar) over heen gooi is het een prettig idee te weten in welke directory de wijzigingen plaatsvinden (ook voor het eventueel ongedaan maken ervan bij mogelijke oneffenheden/calamiteiten).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.