Informationen zum Sicherheitsinhalt von OS X Server 4.0

Hier erfahren Sie mehr über den Sicherheitsinhalt von OS X Server 4.0.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

OS X Server 4.0

  • BIND

    Verfügbar für: OS X Yosemite 10.10 oder neuer

    Auswirkung: Mehrere Schwachstellen in BIND, die im schlimmsten Fall zu einem Denial-of-Service führen können

    Beschreibung: In BIND gab es mehrere Schwachstellen. Diese Probleme wurden durch Aktualisieren von BIND auf Version 9.9.2-P2 behoben

    CVE-ID

    CVE-2013-3919

    CVE-2013-4854

    CVE-2014-0591

  • CoreCollaboration

    Verfügbar für: OS X Yosemite 10.10 oder neuer

    Auswirkung: Ein entfernter Angreifer kann willkürliche SQL-Abfragen ausführen

    Beschreibung: In Wiki Server gibt es eine Schwachstelle für die SQL-Einschleusung. Dieses Problem wurde durch eine zusätzliche Überprüfung von SQL-Abfragen behoben.

    CVE-ID

    CVE-2014-4424: Sajjad Pourali (sajjad@securation.com) von CERT der Firdausi-Universität Maschhad

  • CoreCollaboration

    Verfügbar für: OS X Yosemite 10.10 oder neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: In Xcode Server gab es mehrere Cross-Site-Scripting-Probleme. Dieses Problem wurde durch eine verbesserte Codierung von HTML-Ausgaben behoben.

    CVE-ID

    CVE-2014-4406: David Hoyt von Hoyt LLC

  • CoreCollaboration

    Verfügbar für: OS X Yosemite 10.10 oder neuer

    Auswirkung: In PostgreSQL existieren mehrere Schwachstellen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen können

    Beschreibung: In PostgreSQL existierten mehrere Schwachstellen. Diese Probleme wurden durch die Aktualisierung von PostgreSQL auf Version 9.2.7 behoben.

    CVE-ID

    CVE-2014-0060

    CVE-2014-0061

    CVE-2014-0062

    CVE-2014-0063

    CVE-2014-0064

    CVE-2014-0065

    CVE-2014-0066

  • Mail-Dienst

    Verfügbar für: OS X Yosemite 10.10 oder neuer

    Auswirkung: Gruppen-SACL-Änderungen für Mail werden nicht berücksichtigt, bis der Mail-Dienst neu gestartet wurde

    Beschreibung: SACL-Einstellungen für Mail wurden gecacht, und Änderungen an den SACLs wurden nicht berücksichtigt, bis der Mail-Dienst neu gestartet wurde. Dieses Problem wurde behoben, indem der Cache bei Änderungen an den SACLs zurückgesetzt wird.

    CVE-ID

    CVE-2014-4446: Craig Courtney

  • Profil-Manager

    Verfügbar für: OS X Yosemite 10.10 oder neuer

    Auswirkung: Mehrere Schwachstellen in LibYAML, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen können

    Beschreibung: In LibYAML gab es mehrere Schwachstellen. Diese Probleme wurden behoben, indem für das interne Serialisierungsformat des Profil-Managers von YAML zu JSON gewechselt wurde.

    CVE-ID

    CVE-2013-4164

    CVE-2013-6393

  • Profil-Manager

    Verfügbar für: OS X Yosemite 10.10 oder neuer

    Auswirkung: Ein lokaler Benutzer kann Passwörter erlangen, nachdem Profile im Profil-Manager eingerichtet oder bearbeitet wurden.

    Beschreibung: Unter gewissen Umständen können beim Einrichten oder Bearbeiten von Profilen im Profil-Manager Passwörter in einer Datei protokolliert worden sein. Dieses Problem wurde durch eine verbesserte Verarbeitung von Berechtigungsnachweisen behoben.

    CVE-ID

    CVE-2014-4447: Mayo Jordanov

  • Server

    Verfügbar für: OS X Yosemite 10.10 oder neuer

    Auswirkung: Ein Angreifer kann möglicherweise durch SSL geschützte Daten entschlüsseln

    Beschreibung: Es gibt bekannte Angriffe auf die Vertraulichkeit von SSL 3.0, wenn eine Cipher Suite einen Block-Cipher im CBC-Modus verwendet. Ein Angreifer könnte die Nutzung von SSL 3.0 erzwingen, auch wenn der Server eine bessere TLS-Version unterstützt, indem Verbindungsversuche mit TLS 1.0 und höher blockiert werden. Dieses Problem wurde behoben, indem die SSL 3.0-Unterstützung in Web-Server, Kalender- und Kontakte-Server sowie in der entfernten Verwaltung deaktiviert wurde.

    CVE-ID

    CVE-2014-3566: Bodo Moeller, Thai Duong und Krzysztof Kotowicz vom Google-Sicherheitsteam

  • ServerRuby

    Verfügbar für: OS X Yosemite 10.10 oder neuer

    Auswirkung: Das Ausführen eines Ruby-Skripts, das nicht vertrauenswürdige YAML-Tags verarbeitet, kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von YAML-Tags in LibYAML kann es zu einem Ganzzahlüberlauf kommen. Dieses Problem wurde durch Ausführen einer zusätzlichen Validierung von YAML-Tags behoben. Dieses Problem wirkt sich nicht auf Systeme aus, die älter sind als OS X Mavericks.

    CVE-ID

    CVE-2013-6393

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: