Сведения о проблемах безопасности, устраняемых в ОС OS X Server 3.0

Узнайте о проблемах безопасности, устраняемых в ОС OS X Server 3.0.

В данном документе описываются проблемы безопасности, устраняемые в ОС OS X Server 3.0.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

ОС OS X Server 3.0

• Диспетчер профилей

  Доступно для ОС OS X Mavericks 10.9 и более поздних версий.

  Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании.

  Описание. JSON Ruby Gem постоянно выделял память при анализе определенных конструкций во входных данных. Злоумышленник мог воспользоваться этой уязвимостью для использования всей доступной памяти с целью вызова отказа в обслуживании. Эта проблема решена путем дополнительной проверки данных JSON.

  Идентификатор CVE

  CVE-2013-0269

• Диспетчер профилей

  Доступно для ОС OS X Mavericks 10.9 и более поздних версий.

  Воздействие. Множественные уязвимости в среде Ruby on Rails

  Описание. В Ruby on Rails содержалось несколько проблем, наиболее серьезные из которых могут допустить проведение атаки на основе межсайтовых сценариев. Эти проблемы устранены путем обновления реализации Rails, используемой программой «Менеджер профилей», до версии 2.3.18.

  Идентификатор CVE

  CVE-2013-1854

  CVE-2013-1855

  CVE-2013-1856

  CVE-2013-1857

• FreeRADIUS

  Доступно для ОС OS X Mavericks 10.9 и более поздних версий.

  Воздействие. Удаленный злоумышленник может получить возможность спровоцировать отказ в обслуживании или выполнение произвольного кода

  Описание. В FreeRADIUS возникало переполнение буфера при анализе отметки времени «не после» в клиентском сертификате, когда использовались методы EAP на базе TLS. Проблема устранена путем обновления FreeRADIUS до версии 2.2.0.

  Идентификатор CVE

  CVE-2012-3547

• Программа Server

  Доступно для ОС OS X Mavericks 10.9 и более поздних версий.

  Воздействие. Server может использовать резервный сертификат во время идентификации

  Описание. Существовала логическая проблема, из-за которой служба RADIUS могла выбрать неправильный сертификат из списка настроенных сертификатов. Проблема устранена путем использования того же сертификата, что и для других служб.

  Идентификатор CVE

  CVE-2013-5143: Арек Дрейер (Arek Dreyer) из Dreyer Network Consultants, Inc.