À propos des correctifs de sécurité d’OS X Server 4.0

Consultez cet article pour en savoir plus sur les correctifs de sécurité d’OS X Server 4.0.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

OS X Server 4.0

• BIND

  Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

  Conséquence : plusieurs vulnérabilités existent dans BIND, la plus grave pouvant provoquer un déni de service.

  Description : BIND présentait plusieurs vulnérabilités. Ces problèmes ont été résolus par la mise à jour de BIND vers la version 9.9.2-P2.

  Référence CVE

  CVE-2013-3919

  CVE-2013-4854

  CVE-2014-0591

• CoreCollaboration

  Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

  Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de requêtes SQL.

  Description : Wiki Server présentait un problème d’injection de code SQL. Ce problème a été résolu par une validation supplémentaire des requêtes SQL.

  Référence CVE

  CVE-2014-4424 : Sajjad Pourali (sajjad@securation.com) du programme CERT de la Ferdowsi University de Mashhad.

• CoreCollaboration

  Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

  Conséquence : la consultation d’un site Web malveillant peut entraîner une attaque de scriptage intersites.

  Description : Xcode Server présentait un problème de scriptage intersites. Ce problème a été résolu par un meilleur encodage du rendu HTML.

  Référence CVE

  CVE-2014-4406 : David Hoyt de Hoyt LLC.

• CoreCollaboration

  Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

  Conséquence : plusieurs vulnérabilités affectent PostgreSQL, la plus grave pouvant entraîner l’exécution arbitraire de code.

  Description : PostgreSQL présentait plusieurs vulnérabilités. Ces problèmes ont été résolus par la mise à jour de PostgreSQL vers la version 9.2.7.

  Référence CVE

  CVE-2014-0060

  CVE-2014-0061

  CVE-2014-0062

  CVE-2014-0063

  CVE-2014-0064

  CVE-2014-0065

  CVE-2014-0066

• Service Mail

  Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

  Conséquence : les modifications groupées apportées aux listes de contrôle d’accès et effectuées dans Mail peuvent ne pas être prises en compte tant que ce dernier n’a pas été redémarré.

  Conséquence : les réglages SACL de Mail étaient mis en cache, et les modifications apportées aux listes de contrôle d’accès n’étaient pas prises en compte tant que Mail n’avait pas été redémarré. Ce problème a été résolu par la réinitialisation du cache, en cas de modifications apportées aux listes de contrôle d’accès.

  Référence CVE

  CVE-2014-4446 : Craig Courtney.

• Gestionnaire de profils

  Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

  Conséquence : plusieurs vulnérabilités affectent LibYAML, la plus grave pouvant entraîner l’exécution arbitraire de code.

  Description : LibYAML présentait plusieurs vulnérabilités. Ces problèmes ont été résolus par le passage du format de sérialisation interne YAML à JSON, au niveau du gestionnaire de profils.

  Référence CVE

  CVE-2013-4164

  CVE-2013-6393

• Gestionnaire de profils

  Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

  Conséquence : un utilisateur local peut être en mesure d’obtenir des mots de passe après la configuration ou la modification de profils dans le gestionnaire de profils.

  Description : dans certains cas, la configuration ou la modification de profils dans le gestionnaire de profils peut entraîner la consignation de mots de passe dans un fichier. Ce problème a été résolu par une meilleure gestion des identifiants.

  Référence CVE

  CVE-2014-4447 : Mayo Jordanov.

• Serveur

  Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

  Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par le protocole SSL.

  Description : la confidentialité du protocole SSL 3.0 est sujette à des attaques lorsqu’une suite de chiffrement utilise un chiffrement de bloc en mode d’enchaînement des blocs. Un attaquant pouvait forcer l’utilisation du protocole SSL 3.0, même lorsque le serveur prenait en charge une version plus adaptée du protocole TLS, et ce en bloquant les tentatives de connexion par le protocole TLS 1.0 et version ultérieure. Ce problème a été résolu par la désactivation de la prise en charge du protocole SSL 3.0 dans les applications Serveur Web, Serveur Calendrier et Contacts, et Administration à distance.

  Référence CVE

  CVE-2014-3566 : Bodo Moeller, Thai Duong et Krzysztof Kotowicz de la Google Security Team.

• ServerRuby

  Disponible pour : OS X Yosemite 10.10 ou version ultérieure.

  Conséquence : l’exécution d’un script Ruby, prenant en charge des balises YAML non fiables, pouvait entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

  Description : un problème de dépassement d’entier existait au niveau de la gestion, par LibYAML, des balises YAML. Ce problème a été résolu par une validation supplémentaire des balises YAML. Il n’affecte pas les systèmes antérieurs à OS X Mavericks.

  Référence CVE

  CVE-2013-6393