Informationen zum Sicherheitsinhalt von OS X Server 3.0

Hier finden Sie Informationen zum Sicherheitsinhalt von OS X Server 3.0.

Dieses Dokument beschreibt den Sicherheitsinhalt von OS X Server 3.0.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

OS X Server 3.0

• Profil-Manager

  Verfügbar für: OS X Mavericks 10.9 oder neuer

  Auswirkung: Ein entfernter Angreifer könnte einen Denial-of-Service-Angriff verursachen

  Beschreibung: Der JSON Ruby Gem wies dauerhaft Speicher beim Parsen bestimmter Konstrukte in seiner Eingabe zu. Ein Angreifer konnte dies ausnutzen, um den gesamten verfügbaren Speicher zu nutzen, was zu einem Denial-of-Service führt. Dieses Problem wurde durch eine zusätzliche Validierung von JSON-Daten behoben.

  CVE-ID

  CVE-2013-0269

• Profil-Manager

  Verfügbar für: OS X Mavericks 10.9 oder neuer

  Auswirkung: Mehrere Probleme in Ruby on Rails

  Beschreibung: Es gab mehrere Probleme in Ruby on Rails, die im schlimmsten Fall zu Cross-Site-Scripting führen können. Diese Probleme wurden behoben, indem die Rails-Implementierung, die vom Profil-Manager verwendet wird, auf Version 2.3.18 aktualisiert wurde.

  CVE-ID

  CVE-2013-1854

  CVE-2013-1855

  CVE-2013-1856

  CVE-2013-1857

• FreeRADIUS

  Verfügbar für: OS X Mavericks 10.9 oder neuer

  Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service oder die Ausführung willkürlichen Codes verursachen.

  Beschreibung: In FreeRADIUS existierte ein Pufferüberlauf, als der Zeitstempel 'nicht nach' in einem Client-Zertifikat geparst wurde, wenn TLS-basierte EAP-Methoden verwendet wurden. Dieses Problem wurde durch Aktualisierung von FreeRADIUS auf Version 2.2.0 behoben.

  CVE-ID

  CVE-2012-3547

• Server-App

  Verfügbar für: OS X Mavericks 10.9 oder neuer

  Auswirkung: Server kann ein Ersatzzertifikat während der Authentifizierung verwenden.

  Beschreibung: Es bestand ein Logikproblem, durch das der RADIUS-Dienst ein falsches Zertifikat aus der Liste der konfigurierten Zertifikate auswählen konnte. Dieses Problem wurde behoben, indem dasselbe Zertifikat wie andere Dienste verwendet werden.

  CVE-ID

  CVE-2013-5143: Arek Dreyer von Dreyer Network Consultants, Inc.