Informazioni sul contenuto di sicurezza di OS X Server 4.0

Leggi di seguito le informazioni sul contenuto di sicurezza di OS X Server 4.0.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta Aggiornamenti di sicurezza Apple.

OS X Server 4.0

  • BIND

    Disponibile per: OS X Yosemite 10.10 o versioni successive

    Impatto: diverse vulnerabilità in BIND, la più grave delle quali potrebbe causare l'interruzione del servizio.

    Descrizione: sono state rilevate diverse vulnerabilità in BIND. Questi problemi sono stati risolti aggiornando BIND alla versione 9.9.2-P2.

    CVE-ID

    CVE-2013-3919

    CVE-2013-4854

    CVE-2014-0591

  • CoreCollaboration

    Disponibile per: OS X Yosemite 10.10 o versioni successive

    Impatto: un malintenzionato collegato in remoto potrebbe causare l'esecuzione di query SQL arbitrarie.

    Descrizione: si verifica un problema di immissione di SQL in Wiki Server. Questo problema è stato risolto attraverso un'ulteriore convalida delle query SQL.

    CVE-ID

    CVE-2014-4424: Sajjad Pourali (sajjad@securation.com) del programma CERT della Ferdowsi University di Mashhad

  • CoreCollaboration

    Disponibile per: OS X Yosemite 10.10 o versioni successive

    Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si verifica un problema di scripting cross-site nel server Xcode. Questo problema è stato risolto migliorando la codifica dell'output HTML.

    CVE-ID

    CVE-2014-4406: David Hoyt di Hoyt LLC

  • CoreCollaboration

    Disponibile per: OS X Yosemite 10.10 o versioni successive

    Impatto: diverse vulnerabilità in PostgreSQL, la più grave delle quali potrebbe comportare l'esecuzione di codice arbitrario.

    Descrizione: sono state rilevate diverse vulnerabilità in PostgreSQL. Questi problemi sono stati risolti aggiornando PostgreSQL alla versione 9.2.7.

    CVE-ID

    CVE-2014-0060

    CVE-2014-0061

    CVE-2014-0062

    CVE-2014-0063

    CVE-2014-0064

    CVE-2014-0065

    CVE-2014-0066

  • Servizio Mail

    Disponibile per: OS X Yosemite 10.10 o versioni successive

    Impatto: le modifiche SACL di gruppo per Mail potrebbero non venire rispettate fino al riavvio del servizio Mail.

    Descrizione: le impostazioni SACL per Mail vengono memorizzate nella cache e le modifiche alle SACL non vengono rispettate fino al riavvio del servizio Mail. Questo problema è stato risolto ripristinando la cache in seguito alle modifiche alle SACL.

    CVE-ID

    CVE-2014-4446: Craig Courtney

  • Gestore profilo

    Disponibile per: OS X Yosemite 10.10 o versioni successive

    Impatto: diverse vulnerabilità in LibYAML, la più grave delle quali potrebbe comportare l'esecuzione di codice arbitrario.

    Descrizione: sono state rilevate diverse vulnerabilità in LibYAML. Questi problemi sono stati risolti passando da YAML a JSON come formato di serializzazione interno di Gestore profilo.

    CVE-ID

    CVE-2013-4164

    CVE-2013-6393

  • Gestore profilo

    Disponibile per: OS X Yosemite 10.10 o versioni successive

    Impatto: un utente locale potrebbe modificare le password dopo la configurazione o la modifica dei profili in Gestore profilo.

    Descrizione: in determinate circostanze la configurazione o la modifica dei profili in Gestore profilo può registrare le password in un file. Questo problema è stato risolto tramite una migliore gestione delle credenziali.

    CVE-ID

    CVE-2014-4447: Mayo Jordanov

  • Server

    Disponibile per: OS X Yosemite 10.10 o versioni successive

    Impatto: un malintenzionato potrebbe essere in grado di decodificare i dati protetti con SSL.

    Descrizione: si sono verificati casi confermati di attacchi alla riservatezza SSL 3.0 quando una suite di cifratura utilizza una cifratura a blocchi in modalità CBC. Un malintenzionato potrebbe forzare l'uso di SSL 3.0 anche se il server supporta una versione TLS migliore, bloccando i tentativi di connessione con TLS 1.0 e versioni più recenti. Questo problema è stato risolto disabilitando il supporto SSL 3.0 in Server web, Server Calendario e Contatti e Amministrazione remota.

    CVE-ID

    CVE-2014-3566: Bodo Moeller, Thai Duong e Krzysztof Kotowicz del Google Security Team

  • ServerRuby

    Disponibile per: OS X Yosemite 10.10 o versioni successive

    Impatto: l'esecuzione di uno script Ruby che gestisce tag YAML non affidabili può comportare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di overflow di numeri interi nella gestione di LibYAML di tag YAML. Questo problema è stato risolto attraverso un'ulteriore convalida dei tag YAML. Questo problema non riguarda i sistemi precedenti a OS X Mavericks.

    CVE-ID

    CVE-2013-6393

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: