À propos des correctifs de sécurité d’OS X Server 4.0

Consultez cet article pour en savoir plus sur les correctifs de sécurité d’OS X Server 4.0.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

OS X Server 4.0

  • BIND

    Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

    Conséquence : plusieurs vulnérabilités existent dans BIND, la plus grave pouvant provoquer un déni de service.

    Description : BIND présentait plusieurs vulnérabilités. Ces problèmes ont été résolus par la mise à jour de BIND vers la version 9.9.2-P2.

    Référence CVE

    CVE-2013-3919

    CVE-2013-4854

    CVE-2014-0591

  • CoreCollaboration

    Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

    Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de requêtes SQL.

    Description : Wiki Server présentait un problème d’injection de code SQL. Ce problème a été résolu par une validation supplémentaire des requêtes SQL.

    Référence CVE

    CVE-2014-4424 : Sajjad Pourali (sajjad@securation.com) du programme CERT de la Ferdowsi University de Mashhad.

  • CoreCollaboration

    Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

    Conséquence : la consultation d’un site Web malveillant peut entraîner une attaque de scriptage intersites.

    Description : Xcode Server présentait un problème de scriptage intersites. Ce problème a été résolu par un meilleur encodage du rendu HTML.

    Référence CVE

    CVE-2014-4406 : David Hoyt de Hoyt LLC.

  • CoreCollaboration

    Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

    Conséquence : plusieurs vulnérabilités affectent PostgreSQL, la plus grave pouvant entraîner l’exécution arbitraire de code.

    Description : PostgreSQL présentait plusieurs vulnérabilités. Ces problèmes ont été résolus par la mise à jour de PostgreSQL vers la version 9.2.7.

    Référence CVE

    CVE-2014-0060

    CVE-2014-0061

    CVE-2014-0062

    CVE-2014-0063

    CVE-2014-0064

    CVE-2014-0065

    CVE-2014-0066

  • Service Mail

    Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

    Conséquence : les modifications groupées apportées aux listes de contrôle d’accès et effectuées dans Mail peuvent ne pas être prises en compte tant que ce dernier n’a pas été redémarré.

    Conséquence : les réglages SACL de Mail étaient mis en cache, et les modifications apportées aux listes de contrôle d’accès n’étaient pas prises en compte tant que Mail n’avait pas été redémarré. Ce problème a été résolu par la réinitialisation du cache, en cas de modifications apportées aux listes de contrôle d’accès.

    Référence CVE

    CVE-2014-4446 : Craig Courtney.

  • Gestionnaire de profils

    Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

    Conséquence : plusieurs vulnérabilités affectent LibYAML, la plus grave pouvant entraîner l’exécution arbitraire de code.

    Description : LibYAML présentait plusieurs vulnérabilités. Ces problèmes ont été résolus par le passage du format de sérialisation interne YAML à JSON, au niveau du gestionnaire de profils.

    Référence CVE

    CVE-2013-4164

    CVE-2013-6393

  • Gestionnaire de profils

    Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

    Conséquence : un utilisateur local peut être en mesure d’obtenir des mots de passe après la configuration ou la modification de profils dans le gestionnaire de profils.

    Description : dans certains cas, la configuration ou la modification de profils dans le gestionnaire de profils peut entraîner la consignation de mots de passe dans un fichier. Ce problème a été résolu par une meilleure gestion des identifiants.

    Référence CVE

    CVE-2014-4447 : Mayo Jordanov.

  • Serveur

    Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

    Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par le protocole SSL.

    Description : la confidentialité du protocole SSL 3.0 est sujette à des attaques lorsqu’une suite de chiffrement utilise un chiffrement de bloc en mode d’enchaînement des blocs. Un attaquant pouvait forcer l’utilisation du protocole SSL 3.0, même lorsque le serveur prenait en charge une version plus adaptée du protocole TLS, et ce en bloquant les tentatives de connexion par le protocole TLS 1.0 et version ultérieure. Ce problème a été résolu par la désactivation de la prise en charge du protocole SSL 3.0 dans les applications Serveur Web, Serveur Calendrier et Contacts, et Administration à distance.

    Référence CVE

    CVE-2014-3566 : Bodo Moeller, Thai Duong et Krzysztof Kotowicz de la Google Security Team.

  • ServerRuby

    Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

    Conséquence : l’exécution d’un script Ruby, prenant en charge des balises YAML non fiables, pouvait entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : un problème de dépassement d’entier existait au niveau de la gestion, par LibYAML, des balises YAML. Ce problème a été résolu par une validation supplémentaire des balises YAML. Il n’affecte pas les systèmes antérieurs à OS X Mavericks.

    Référence CVE

    CVE-2013-6393

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: