OS X : MàJ de sécurité

Il arrive parfois que l’actualité ait lieu dans nos fora plutôt que dans le Mag’, comme c’est le cas aujourd’hui puisque nous pouvons remercier patpro comme Guy d’Humières d’y avoir annoncé la mise en ligne d’une mise à jour de sécurité de Mac OS X par Apple. Disponible dès à présent via les Préférences Systèmes (pour versions “Serveur” également), cette Security Update bouche différents trous constatés dans divers programmes Open Source installés dans Mac OS X. Pour celles et ceux (et ils sont plus que nombreux) qui n’ont jamais recompilé ces éléments lors de la découverte des failles, Apple s’en occupe donc. Le lien de téléchargement direct n’a pas échappé à la vigilance de Guy, et se trouve là :
– http://download.info.apple.com/ (4,7 Mo)

A propos des failles justement, voici celles découvertes et corrigées :
– Apache passe en version 1.3.23, incluant le mod_ssl corrigé
– le Mod_SSL en question passe en version 2.8.7 (vulnérabilité au “buffer overflow” corrigée)
– groff passe en 1.17.2 (un pirate pouvait obtenir des privilèges indus à distance)
– mail_cmds corrige un bug qui permettait d’ajouter sans autre forme de procès des utilisateurs au groupe “mail”
– OpenSSH présentait une faille de mémoire, corrigée avec cette version 3.1p1
– PHP passe en version 4.1.2, corrigeant une vulnérabilité qui permettait à un pirate d’exécuter son code avec les privilèges web (groupe “www” sur Mac OS X).
– rsync, qui permet de synchroniser des données à distance, pouvait corrompre la pile et sans doute laisser de mauvaises volontés exécuter du code en “root”. Ça n’est plus le cas avec cette version 2.5.2
– sudo passe en 1.6.5p2, corrigeant une sacré faille puisqu’il était possible auparavant à un utilisateur local d’agir avec les privilèges d’un super-utilisateur (sans en avoir la permission, évidemment).

Les admins trouveront les liens vers les recommandations freeBSD dans le message de patpro du forum Mon métier c’est admin.