Xcode 7.0 のセキュリティコンテンツについて

この記事では、Xcode 7.0 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。

Apple Product Security PGP キーについてはこちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

Xcode 7.0

• DevTools

  対象 OS：OS X Yosemite v10.10.4 以降

  影響：攻撃者がアクセス制限を回避できる可能性がある。

  説明：Apache の構成に、API の脆弱性が存在しました。この問題は、ヘッダファイルを最新バージョンを使うようにアップデートすることで解決されました。

  CVE-ID

  CVE-2015-3185：Apache Software Foundation の Branko Äibej 氏

• IDE Xcode Server

  対象 OS：OS X Yosemite v10.10.4 以降

  影響：攻撃者が、ファイルシステムの制限された部分にアクセスできる可能性がある。

  説明：0.8.4 より前のバージョンの node.js send モジュールに、比較に関する脆弱性が存在しました。この問題は、バージョン 0.12.3 にアップグレードすることで解決されました。

  CVE-ID

  CVE-2014-6394：Ilya Kantor 氏

• IDE Xcode Server

  対象 OS：OS X Yosemite v10.10.4 以降

  影響：OpenSSL に複数の脆弱性がある。

  説明：バージョン 1.0.1j より前の node.js OpenSSL モジュールに複数の脆弱性が存在しました。この問題は、openssl をバージョン 1.0.1j にアップデートすることで解決されました。

  CVE-ID

  CVE-2014-3513

  CVE-2014-3566

  CVE-2014-3567

  CVE-2014-3568

• IDE Xcode Server

  対象 OS：OS X Yosemite v10.10.4 以降

  影響：ネットワーク上の特権的な地位を悪用した攻撃者が、Xcode Server へのトラフィックを傍受できる可能性がある。

  説明：Xcode Server への接続が暗号化されずに確立される可能性があります。この問題は、ネットワーク接続のロジックを改善することで解決されました。

  CVE-ID

  CVE-2015-5910：匿名の研究者

• IDE Xcode Server

  対象 OS：OS X Yosemite v10.10.4 以降

  影響：ビルドの通知が、意図しない受信者に送信される可能性がある。

  説明：リポジトリのメールリストの処理に、アクセスに関する脆弱性が存在しました。この問題は、検証を強化することで解決されました。

  CVE-ID

  CVE-2015-5909：Rocket Apps の Daniel Tomlinson 氏、Anchorfree の David Gatwood 氏

• subversion

  対象 OS：OS X Yosemite v10.10.4 以降

  影響：1.7.19 より前のバージョンの svn に、複数の脆弱性が存在する。

  説明：1.7.19 より前のバージョンの svn に、複数の脆弱性が存在しました。この問題は、svn を 1.7.20 にアップデートすることで解決されました。

  CVE-ID

  CVE-2015-0248

  CVE-2015-0251