Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
OS X Server 4.0
-
BIND
Disponible pour : OS X Yosemite 10.10 ou version ultérieure.
Conséquence : plusieurs vulnérabilités existent dans BIND, la plus grave pouvant provoquer un déni de service.
Description : BIND présentait plusieurs vulnérabilités. Ces problèmes ont été résolus par la mise à jour de BIND vers la version 9.9.2-P2.
Référence CVE
CVE-2013-3919
CVE-2013-4854
CVE-2014-0591
-
CoreCollaboration
Disponible pour : OS X Yosemite 10.10 ou version ultérieure.
Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de requêtes SQL.
Description : Wiki Server présentait un problème d’injection de code SQL. Ce problème a été résolu par une validation supplémentaire des requêtes SQL.
Référence CVE
CVE-2014-4424 : Sajjad Pourali (sajjad@securation.com) du programme CERT de la Ferdowsi University de Mashhad.
-
CoreCollaboration
Disponible pour : OS X Yosemite 10.10 ou version ultérieure.
Conséquence : la consultation d’un site Web malveillant peut entraîner une attaque de scriptage intersites.
Description : Xcode Server présentait un problème de scriptage intersites. Ce problème a été résolu par un meilleur encodage du rendu HTML.
Référence CVE
CVE-2014-4406 : David Hoyt de Hoyt LLC.
-
CoreCollaboration
Disponible pour : OS X Yosemite 10.10 ou version ultérieure.
Conséquence : plusieurs vulnérabilités affectent PostgreSQL, la plus grave pouvant entraîner l’exécution arbitraire de code.
Description : PostgreSQL présentait plusieurs vulnérabilités. Ces problèmes ont été résolus par la mise à jour de PostgreSQL vers la version 9.2.7.
Référence CVE
CVE-2014-0060
CVE-2014-0061
CVE-2014-0062
CVE-2014-0063
CVE-2014-0064
CVE-2014-0065
CVE-2014-0066
-
Service Mail
Disponible pour : OS X Yosemite 10.10 ou version ultérieure.
Conséquence : les modifications groupées apportées aux listes de contrôle d’accès et effectuées dans Mail peuvent ne pas être prises en compte tant que ce dernier n’a pas été redémarré.
Conséquence : les réglages SACL de Mail étaient mis en cache, et les modifications apportées aux listes de contrôle d’accès n’étaient pas prises en compte tant que Mail n’avait pas été redémarré. Ce problème a été résolu par la réinitialisation du cache, en cas de modifications apportées aux listes de contrôle d’accès.
Référence CVE
CVE-2014-4446 : Craig Courtney.
-
Gestionnaire de profils
Disponible pour : OS X Yosemite 10.10 ou version ultérieure.
Conséquence : plusieurs vulnérabilités affectent LibYAML, la plus grave pouvant entraîner l’exécution arbitraire de code.
Description : LibYAML présentait plusieurs vulnérabilités. Ces problèmes ont été résolus par le passage du format de sérialisation interne YAML à JSON, au niveau du gestionnaire de profils.
Référence CVE
CVE-2013-4164
CVE-2013-6393
-
Gestionnaire de profils
Disponible pour : OS X Yosemite 10.10 ou version ultérieure.
Conséquence : un utilisateur local peut être en mesure d’obtenir des mots de passe après la configuration ou la modification de profils dans le gestionnaire de profils.
Description : dans certains cas, la configuration ou la modification de profils dans le gestionnaire de profils peut entraîner la consignation de mots de passe dans un fichier. Ce problème a été résolu par une meilleure gestion des identifiants.
Référence CVE
CVE-2014-4447 : Mayo Jordanov.
-
Serveur
Disponible pour : OS X Yosemite 10.10 ou version ultérieure.
Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par le protocole SSL.
Description : la confidentialité du protocole SSL 3.0 est sujette à des attaques lorsqu’une suite de chiffrement utilise un chiffrement de bloc en mode d’enchaînement des blocs. Un attaquant pouvait forcer l’utilisation du protocole SSL 3.0, même lorsque le serveur prenait en charge une version plus adaptée du protocole TLS, et ce en bloquant les tentatives de connexion par le protocole TLS 1.0 et version ultérieure. Ce problème a été résolu par la désactivation de la prise en charge du protocole SSL 3.0 dans les applications Serveur Web, Serveur Calendrier et Contacts, et Administration à distance.
Référence CVE
CVE-2014-3566 : Bodo Moeller, Thai Duong et Krzysztof Kotowicz de la Google Security Team.
-
ServerRuby
Disponible pour : OS X Yosemite 10.10 ou version ultérieure.
Conséquence : l’exécution d’un script Ruby, prenant en charge des balises YAML non fiables, pouvait entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de dépassement d’entier existait au niveau de la gestion, par LibYAML, des balises YAML. Ce problème a été résolu par une validation supplémentaire des balises YAML. Il n’affecte pas les systèmes antérieurs à OS X Mavericks.
Référence CVE
CVE-2013-6393