Software-update: Apple Mac OS X beveiligingsupdate 2009-004

Apple heeft een nieuwe beveiligingsupdate voor Mac OS X 10.5 en 10.4 de deur uitgedaan met 2009-004 als de versieaanduiding. Hierin wordt een beveiligingslek gedicht met betrekking tot BIND wat ingezet kan worden als dns-server. De Nederlandse aankondiging ziet er als volgt uit:

Overzicht

In dit artikel wordt de beveiligingsinhoud van de beveiligingsupdate 2009-004 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de Apple-downloadpagina.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn

Beveiligingsupdate 2009-004

BIND
CVE-ID: CVE-2009-0696.
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8 en Mac OS X Server v10.5.8.
Impact: een externe aanvaller kan zorgen voor de onverwachte beëindiging van de DNS-server

Beschrijving: een probleem met de logica bij de verwerking van dynamische DNS-updateberichten kan leiden tot de activering van een bewering Door een kwaadwillig vervaardigd updatebericht te versturen naar de BIND DNS-server kan een externe aanvaller de BIND-service onderbreken. Het probleem beïnvloedt servers die masters zijn voor een of meer zones, ongeacht of ze updates accepteren. BIND wordt geleverd bij Mac OS X en Mac OS X Server maar is niet standaard ingeschakeld. Deze update verhelpt het probleem door de correcte weigering van berichten met een record van het type "ANY" waarbij eerder een bewering zou gesteld zijn.