Informationen zum Sicherheitsinhalt von OS X Server 3.0

Hier finden Sie Informationen zum Sicherheitsinhalt von OS X Server 3.0.

Dieses Dokument beschreibt den Sicherheitsinhalt von OS X Server 3.0.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

OS X Server 3.0

  • Profil-Manager

    Verfügbar für: OS X Mavericks 10.9 oder neuer

    Auswirkung: Ein entfernter Angreifer könnte einen Denial-of-Service-Angriff verursachen

    Beschreibung: Der JSON Ruby Gem wies dauerhaft Speicher beim Parsen bestimmter Konstrukte in seiner Eingabe zu. Ein Angreifer konnte dies ausnutzen, um den gesamten verfügbaren Speicher zu nutzen, was zu einem Denial-of-Service führt. Dieses Problem wurde durch eine zusätzliche Validierung von JSON-Daten behoben.

    CVE-ID

    CVE-2013-0269

  • Profil-Manager

    Verfügbar für: OS X Mavericks 10.9 oder neuer

    Auswirkung: Mehrere Probleme in Ruby on Rails

    Beschreibung: Es gab mehrere Probleme in Ruby on Rails, die im schlimmsten Fall zu Cross-Site-Scripting führen können. Diese Probleme wurden behoben, indem die Rails-Implementierung, die vom Profil-Manager verwendet wird, auf Version 2.3.18 aktualisiert wurde.

    CVE-ID

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • FreeRADIUS

    Verfügbar für: OS X Mavericks 10.9 oder neuer

    Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service oder die Ausführung willkürlichen Codes verursachen.

    Beschreibung: In FreeRADIUS existierte ein Pufferüberlauf, als der Zeitstempel 'nicht nach' in einem Client-Zertifikat geparst wurde, wenn TLS-basierte EAP-Methoden verwendet wurden. Dieses Problem wurde durch Aktualisierung von FreeRADIUS auf Version 2.2.0 behoben.

    CVE-ID

    CVE-2012-3547

  • Server-App

    Verfügbar für: OS X Mavericks 10.9 oder neuer

    Auswirkung: Server kann ein Ersatzzertifikat während der Authentifizierung verwenden.

    Beschreibung: Es bestand ein Logikproblem, durch das der RADIUS-Dienst ein falsches Zertifikat aus der Liste der konfigurierten Zertifikate auswählen konnte. Dieses Problem wurde behoben, indem dasselbe Zertifikat wie andere Dienste verwendet werden.

    CVE-ID

    CVE-2013-5143: Arek Dreyer von Dreyer Network Consultants, Inc.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: