OS X Server v4.0 のセキュリティコンテンツについて

OS X Server v4.0 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

OS X Server v4.0

  • BIND

    対象となるバージョン:OS X Yosemite v10.10 以降

    影響:BIND に複数の脆弱性があり、これらの脆弱性に起因するもっとも重大な問題として、サービス拒否攻撃を受ける可能性がある。

    説明:BIND に複数の脆弱性がありました。この問題は、BIND をバージョン 9.9.2-P2 にアップデートすることで解消されました。

    CVE-ID

    CVE-2013-3919

    CVE-2013-4854

    CVE-2014-0591

  • CoreCollaboration

    対象となるバージョン:OS X Yosemite v10.10 以降

    影響:リモートの攻撃者によって任意の SQL クエリが実行される可能性がある。

    説明:Wiki サーバには SQL インジェクションに関する問題がありました。この問題は、SQL クエリの検証を強化することで解消されました。

    CVE-ID

    CVE-2014-4424:Sajjad Pourali (sajjad@securation.com) 氏 (CERT of Ferdowsi University of Mashhad)

  • CoreCollaboration

    対象となるバージョン:OS X Yosemite v10.10 以降

    影響:悪意を持って作成された Web サイトにアクセスすると、クロスサイトスクリプティング攻撃を受ける可能性がある。

    説明:Xcode Server にはクロスサイトスクリプティングに関する問題がありました。この問題は HTML 出力のエンコードを改善することによって解消されました。

    CVE-ID

    CVE-2014-4406:David Hoyt 氏 (Hoyt LLC)

  • CoreCollaboration

    対象となるバージョン:OS X Yosemite v10.10 以降

    説明:PostgreSQL には複数の脆弱性があり、これらの脆弱性に起因するもっとも重大な問題として、任意のコードが実行される可能性がある。

    説明:PostgreSQL には複数の脆弱性がありました。この問題は、PostgreSQL をバージョン 9.2.7 にアップデートすることによって解消されました。

    CVE-ID

    CVE-2014-0060

    CVE-2014-0061

    CVE-2014-0062

    CVE-2014-0063

    CVE-2014-0064

    CVE-2014-0065

    CVE-2014-0066

  • メールサービス

    対象となるバージョン:OS X Yosemite v10.10 以降

    影響:メールサービスを再起動するまで、メールのグループ SACL の変更が適用されない場合がある。

    説明:メールの SACL 設定がキャッシュされ、SACL に対する変更がメールサービスを再起動するまで適用されない可能性がありました。この問題は、SACL に対する変更に際してキャッシュをリセットすることで解消されました。

    CVE-ID

    CVE-2014-4446:Craig Courtney 氏

  • Profile Manager

    対象となるバージョン:OS X Yosemite v10.10 以降

    影響:LibYAML には複数の脆弱性があり、これらの脆弱性に起因するもっとも重大な問題として、任意のコードが実行される可能性がある。

    説明:LibYAML に複数の脆弱性がありました。これらの問題は、プロファイルマネージャの内部シリアル化フォーマットを YAML から JSON に切り替えることによって解消されました。

    CVE-ID

    CVE-2013-4164

    CVE-2013-6393

  • Profile Manager

    対象となるバージョン:OS X Yosemite v10.10 以降

    影響:プロファイルマネージャでプロファイルを設定または編集した後に、ローカルユーザがパスワードを入手できる場合がある。

    説明:特定の状況において、プロファイルマネージャでプロファイルを設定または編集すると、パスワードがファイルに記録される可能性がありました。この問題は資格情報の処理を改善することで解消されました。

    CVE-ID

    CVE-2014-4447:Mayo Jordanov 氏

  • サーバ

    対象となるバージョン:OS X Yosemite v10.10 以降

    影響:攻撃者が SSL によって保護されたデータを復号化する可能性がある。

    説明:暗号化スイートが CBC モードでブロック暗号を使用する際の SSL 3.0 の脆弱性を利用した既知の攻撃が認められています。サーバがより安全な TLS バージョンをサポートしている場合でも、TLS 1.0 以上の接続試行をブロックすることによって、攻撃者が SSL 3.0 の使用を強制できる可能性があります。この問題は、Web サーバ、カレンダーと連絡先サーバ、およびリモート管理で SSL 3.0 のサポートを無効にすることによって解消されました。

    CVE-ID

    CVE-2014-3566:Google Security Team の Bodo Moeller 氏、Thai Duong 氏、Krzysztof Kotowicz 氏

  • ServerRuby

    対象となるバージョン:OS X Yosemite v10.10 以降

    影響:信頼できない YAML タグを処理する Ruby スクリプトを実行すると、アプリケーションが突然終了したり、任意のコードが実行される可能性がある。

    説明:LibYAML による YAML タグの処理時に、整数オーバーフローが発生する脆弱性が存在します。この問題は、YAML タグの検証を強化することで解決されました。OS X Mavericks より前のシステムでは、この問題は発生しません。

    CVE-ID

    CVE-2013-6393

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: