Informationen zum Sicherheitsinhalt von OS X Server 4.0
Hier erfahren Sie mehr über den Sicherheitsinhalt von OS X Server 4.0.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
OS X Server 4.0
BIND
Verfügbar für: OS X Yosemite 10.10 oder neuer
Auswirkung: Mehrere Schwachstellen in BIND, die im schlimmsten Fall zu einem Denial-of-Service führen können
Beschreibung: In BIND gab es mehrere Schwachstellen. Diese Probleme wurden durch Aktualisieren von BIND auf Version 9.9.2-P2 behoben
CVE-ID
CVE-2013-3919
CVE-2013-4854
CVE-2014-0591
CoreCollaboration
Verfügbar für: OS X Yosemite 10.10 oder neuer
Auswirkung: Ein entfernter Angreifer kann willkürliche SQL-Abfragen ausführen
Beschreibung: In Wiki Server gibt es eine Schwachstelle für die SQL-Einschleusung. Dieses Problem wurde durch eine zusätzliche Überprüfung von SQL-Abfragen behoben.
CVE-ID
CVE-2014-4424: Sajjad Pourali (sajjad@securation.com) von CERT der Firdausi-Universität Maschhad
CoreCollaboration
Verfügbar für: OS X Yosemite 10.10 oder neuer
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen
Beschreibung: In Xcode Server gab es mehrere Cross-Site-Scripting-Probleme. Dieses Problem wurde durch eine verbesserte Codierung von HTML-Ausgaben behoben.
CVE-ID
CVE-2014-4406: David Hoyt von Hoyt LLC
CoreCollaboration
Verfügbar für: OS X Yosemite 10.10 oder neuer
Auswirkung: In PostgreSQL existieren mehrere Schwachstellen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen können
Beschreibung: In PostgreSQL existierten mehrere Schwachstellen. Diese Probleme wurden durch die Aktualisierung von PostgreSQL auf Version 9.2.7 behoben.
CVE-ID
CVE-2014-0060
CVE-2014-0061
CVE-2014-0062
CVE-2014-0063
CVE-2014-0064
CVE-2014-0065
CVE-2014-0066
Mail-Dienst
Verfügbar für: OS X Yosemite 10.10 oder neuer
Auswirkung: Gruppen-SACL-Änderungen für Mail werden nicht berücksichtigt, bis der Mail-Dienst neu gestartet wurde
Beschreibung: SACL-Einstellungen für Mail wurden gecacht, und Änderungen an den SACLs wurden nicht berücksichtigt, bis der Mail-Dienst neu gestartet wurde. Dieses Problem wurde behoben, indem der Cache bei Änderungen an den SACLs zurückgesetzt wird.
CVE-ID
CVE-2014-4446: Craig Courtney
Profil-Manager
Verfügbar für: OS X Yosemite 10.10 oder neuer
Auswirkung: Mehrere Schwachstellen in LibYAML, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen können
Beschreibung: In LibYAML gab es mehrere Schwachstellen. Diese Probleme wurden behoben, indem für das interne Serialisierungsformat des Profil-Managers von YAML zu JSON gewechselt wurde.
CVE-ID
CVE-2013-4164
CVE-2013-6393
Profil-Manager
Verfügbar für: OS X Yosemite 10.10 oder neuer
Auswirkung: Ein lokaler Benutzer kann Passwörter erlangen, nachdem Profile im Profil-Manager eingerichtet oder bearbeitet wurden.
Beschreibung: Unter gewissen Umständen können beim Einrichten oder Bearbeiten von Profilen im Profil-Manager Passwörter in einer Datei protokolliert worden sein. Dieses Problem wurde durch eine verbesserte Verarbeitung von Berechtigungsnachweisen behoben.
CVE-ID
CVE-2014-4447: Mayo Jordanov
Server
Verfügbar für: OS X Yosemite 10.10 oder neuer
Auswirkung: Ein Angreifer kann möglicherweise durch SSL geschützte Daten entschlüsseln
Beschreibung: Es gibt bekannte Angriffe auf die Vertraulichkeit von SSL 3.0, wenn eine Cipher Suite einen Block-Cipher im CBC-Modus verwendet. Ein Angreifer könnte die Nutzung von SSL 3.0 erzwingen, auch wenn der Server eine bessere TLS-Version unterstützt, indem Verbindungsversuche mit TLS 1.0 und höher blockiert werden. Dieses Problem wurde behoben, indem die SSL 3.0-Unterstützung in Web-Server, Kalender- und Kontakte-Server sowie in der entfernten Verwaltung deaktiviert wurde.
CVE-ID
CVE-2014-3566: Bodo Moeller, Thai Duong und Krzysztof Kotowicz vom Google-Sicherheitsteam
ServerRuby
Verfügbar für: OS X Yosemite 10.10 oder neuer
Auswirkung: Das Ausführen eines Ruby-Skripts, das nicht vertrauenswürdige YAML-Tags verarbeitet, kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von YAML-Tags in LibYAML kann es zu einem Ganzzahlüberlauf kommen. Dieses Problem wurde durch Ausführen einer zusätzlichen Validierung von YAML-Tags behoben. Dieses Problem wirkt sich nicht auf Systeme aus, die älter sind als OS X Mavericks.
CVE-ID
CVE-2013-6393
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.