À propos des correctifs de sécurité de Xcode 7.0

Ce document décrit les correctifs de sécurité de Xcode 7.0.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

Xcode 7.0

• DevTools

  Disponibles pour : OS X Yosemite 10.10.4 ou version ultérieure

  Conséquence : un attaquant peut contourner les restrictions d’accès

  Description : un problème d’API existait dans la configuration Apache. Ce problème a été résolu grâce à la mise à jour des fichiers d’en-tête pour utiliser la dernière version.

  Référence CVE

  CVE-2015-3185 : Branko Äibej de l’Apache Software Foundation

• IDE Xcode Server

  Disponible pour : OS X Yosemite 10.10.4 ou version ultérieure

  Conséquence : un attaquant peut accéder à des parties restreintes du système de fichiers

  Description : un problème de comparaison affectait le module d’envoi node.js antérieur à la version 0.8.4. Ce problème a été résolu grâce à la mise à niveau vers la version 0.12.3.

  Référence CVE

  CVE-2014-6394 : Ilya Kantor

• IDE Xcode Server

  Disponible pour : OS X Yosemite 10.10.4 ou version ultérieure

  Conséquence : vulnérabilités multiples dans OpenSSL

  Description : plusieurs vulnérabilités affectaient le module node.js OpenSSL avant la version 1.0.1j. Celles-ci ont été corrigées par la mise à jour d’OpenSSL vers la version 1.0.1j.

  Références CVE

  CVE-2014-3513

  CVE-2014-3566

  CVE-2014-3567

  CVE-2014-3568

• IDE Xcode Server

  Disponible pour : OS X Yosemite 10.10.4 ou version ultérieure

  Conséquence : un attaquant disposant d’une position privilégiée sur le réseau peut inspecter le trafic vers Xcode Server

  Description : les connexions à Xcode Server pouvaient s’effectuer sans chiffrement. Ce problème a été résolu par une meilleure logique de connexion au réseau.

  Référence CVE

  CVE-2015-5910 : un chercheur anonyme

• IDE Xcode Server

  Disponible pour : OS X Yosemite 10.10.4 ou version ultérieure

  Conséquence : les notifications de version peuvent être envoyées à des destinataires non éligibles

  Description : un problème d’accès affectait le traitement des listes d’e-mails du référentiel. Il a été résolu par une meilleure validation.

  Référence CVE

  CVE-2015-5909 : Daniel Tomlinson, de Rocket Apps, David Gatwood, de Anchorfree

• subversion

  Disponible pour : OS X Yosemite 10.10.4 ou version ultérieure

  Conséquence : plusieurs vulnérabilités affectent les versions svn antérieures à 1.7.19

  Description : plusieurs vulnérabilités affectaient les versions svn antérieures à la version 1.7.19. Ces problèmes ont été résolus par la mise à jour du fichier svn vers la version 1.7.20.

  Références CVE

  CVE-2015-0248

  CVE-2015-0251