Xcode 7.0 のセキュリティコンテンツについて
この記事では、Xcode 7.0 のセキュリティコンテンツについて説明します。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。
Apple Product Security PGP キーについてはこちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
Xcode 7.0
DevTools
対象 OS:OS X Yosemite v10.10.4 以降
影響:攻撃者がアクセス制限を回避できる可能性がある。
説明:Apache の構成に、API の脆弱性が存在しました。この問題は、ヘッダファイルを最新バージョンを使うようにアップデートすることで解決されました。
CVE-ID
CVE-2015-3185:Apache Software Foundation の Branko Äibej 氏
IDE Xcode Server
対象 OS:OS X Yosemite v10.10.4 以降
影響:攻撃者が、ファイルシステムの制限された部分にアクセスできる可能性がある。
説明:0.8.4 より前のバージョンの node.js send モジュールに、比較に関する脆弱性が存在しました。この問題は、バージョン 0.12.3 にアップグレードすることで解決されました。
CVE-ID
CVE-2014-6394:Ilya Kantor 氏
IDE Xcode Server
対象 OS:OS X Yosemite v10.10.4 以降
影響:OpenSSL に複数の脆弱性がある。
説明:バージョン 1.0.1j より前の node.js OpenSSL モジュールに複数の脆弱性が存在しました。この問題は、openssl をバージョン 1.0.1j にアップデートすることで解決されました。
CVE-ID
CVE-2014-3513
CVE-2014-3566
CVE-2014-3567
CVE-2014-3568
IDE Xcode Server
対象 OS:OS X Yosemite v10.10.4 以降
影響:ネットワーク上の特権的な地位を悪用した攻撃者が、Xcode Server へのトラフィックを傍受できる可能性がある。
説明:Xcode Server への接続が暗号化されずに確立される可能性があります。この問題は、ネットワーク接続のロジックを改善することで解決されました。
CVE-ID
CVE-2015-5910:匿名の研究者
IDE Xcode Server
対象 OS:OS X Yosemite v10.10.4 以降
影響:ビルドの通知が、意図しない受信者に送信される可能性がある。
説明:リポジトリのメールリストの処理に、アクセスに関する脆弱性が存在しました。この問題は、検証を強化することで解決されました。
CVE-ID
CVE-2015-5909:Rocket Apps の Daniel Tomlinson 氏、Anchorfree の David Gatwood 氏
subversion
対象 OS:OS X Yosemite v10.10.4 以降
影響:1.7.19 より前のバージョンの svn に、複数の脆弱性が存在する。
説明:1.7.19 より前のバージョンの svn に、複数の脆弱性が存在しました。この問題は、svn を 1.7.20 にアップデートすることで解決されました。
CVE-ID
CVE-2015-0248
CVE-2015-0251
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。