Apple laat DoS-gat open na grote patchronde

Door: | 02 februari 2012 13:02

Apple

Apple heeft Mac OSX 10.7.3 uitgebracht. De update voor het besturingssysteem bevat patches voor meer dan 30 lekken. De ingebouwde webserver krijgt ook een update, maar het grote DoS-gat blijft open.

De grote update voor het Mac-besturingssysteem dicht meer dan dertig gaten. Afhankelijk van de huidige versie van de gebruiker is de update tussen de 700 MB en bijna 1,5 GB groot. Onder meer de ingebouwde Apache-server en PHP krijgen een update, maar het in december ontdekte Denial of Service-gat (DoS) blijft ook na de update open staan.

Eind december is het bestaan van het diepe lek naar buiten gekomen. Het lek zit in bijna alle webservers. Kwaadwillenden kunnen een webserver eenvoudig platleggen door er een speciaal geprepareerd pakket heen te sturen.

DoS-gat blijft open staan

Bijzonder aan dit lek is dat een webserver platgelegd kan worden zonder dat er de verzamelde capaciteit van een botnet nodig is. Een pakket van slechts 100 kilobyte is voldoende om één processorcore van een webserver uit te schakelen. Als er meerdere van die pakketten worden gestuurd, is het mogelijk een multicore-systeem plat te leggen.

Het lek werd gedicht in PHP versie 5.3.9, maar Apple stuurt in de OSX-update versie 5.3.8 mee. Die versie van de populaire scripttaal kwam in augustus vorig jaar uit en is dus nog niet voorzien van bescherming tegen het DoS-gat. Beheerders kunnen zelf wel de instellingen van PHP aanpassen om het probleem te ondervangen. PHP raadt gebruikers aan de parameter 'max_input_vars' aan te passen. Dat moet voor gebruikers op oudere PHP-versies voldoende bescherming tegen het lek bieden.

Meer dan dertig patches

In het updatepakket zitten pleisters voor meer dan dertig gaten. Een aantal van die beveiligingsproblemen kunnen het crashen van een applicatie en het uitvoeren van code op een getroffen systeem mogelijk maken.

Onder de gaten bevinden zich een aantal problemen met de Apache webserver. Volgens het support-artikel van Apple wordt een ander denial of service-lek in de ingebouwde webserver gedicht. Een ander Apache-lek maakt het mogelijk SSL-data te onderschepen en ontcijferen.

Quiktime krijgt zes pleisters

De meeste van de beschreven lekken leveren bij uitbuiting een crashende applicatie op, waarbij dan door middel van een buffer overflow code kan worden uitgevoerd. Dat geldt ook voor Apple's eigen mediaspeler QuikTime, die krijgt met zes patches ook een flinke opknapbeurt. Het afspelen van bepaalde MP4-bestanden, PNG- en JPEG2000-afbeeldingen kon een buffer overflow veroorzaken.

Vrijwel alle beschreven updates hebben ook betrekking op Mac OSX 10.6.8, Snow Leopard. Naast de genoemde beveiligingsupdates biedt het updatepakket van Apple ook de toevoeging van een aantal talen aan Safari. De updates worden aan alle gebruikers aangeboden via de automatische update-tool die is ingebouwd in het besturingssysteem, maar de updates zijn ook direct bij Apple te downloaden.