OS X Server v4.0의 보안 콘텐츠에 관하여

OS X Server v4.0의 보안 콘텐츠에 대해 알아봅니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 Apple 보안 업데이트를 참조하십시오.

OS X Server v4.0

• BIND

  대상: OS X Yosemite v10.10 이후

  영향: BIND에서 여러 가지 취약점이 발생하며 이 중 가장 심각한 취약점으로 인해 서비스 거부가 발생할 수 있습니다.

  설명: BIND에서 여러 가지 취약점이 발생합니다. 이 문제는 BIND를 버전 9.9.2-P2로 업데이트하여 해결되었습니다.

  CVE-ID

  CVE-2013-3919

  CVE-2013-4854

  CVE-2014-0591

• CoreCollaboration

  대상: OS X Yosemite v10.10 이후

  영향: 원격 공격자가 임의 SQL 쿼리를 실행할 수 있습니다.

  설명: Wiki 서버에 SQL 삽입 문제가 발생합니다. 이 문제는 추가적인 SQL 쿼리 확인을 통해 해결되었습니다.

  CVE-ID

  CVE-2014-4424: Ferdowsi University of Mashhad의 CERT 소속 Sajjad Pourali(sajjad@securation.com)

• CoreCollaboration

  대상: OS X Yosemite v10.10 이후

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅 공격을 당할 수 있습니다.

  설명: Xcode Server에 사이트 간 스크립팅 문제가 발생했습니다. 이 문제는 개선된 HTML 출력 인코딩을 통해 해결되었습니다.

  CVE-ID

  CVE-2014-4406: Hoyt LLC의 David Hoyt

• CoreCollaboration

  대상: OS X Yosemite v10.10 이후

  영향: OpenSSL에서 여러 가지 취약점이 발생하며 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다.

  설명: PostgreSQL에서 여러 가지 취약점이 발생합니다. 이 문제는 PostgreSQL을 9.2.7 버전으로 업데이트하여 해결되었습니다.

  CVE-ID

  CVE-2014-0060

  CVE-2014-0061

  CVE-2014-0062

  CVE-2014-0063

  CVE-2014-0064

  CVE-2014-0065

  CVE-2014-0066

• Mail 서비스

  대상: OS X Yosemite v10.10 이후

  영향: Mail에 대한 그룹 SACL 변경 사항은 Mail 서비스를 다시 시작할 때까지 적용되지 않을 수 있습니다.

  설명: Mail에 대한 SACL 설정은 캐시되며 SACL에 대한 변경 사항은 Mail 서비스를 다시 시작할 때까지 적용되지 않을 수 있습니다. 이 문제는 변경 사항에 대한 캐시를 SACL에 다시 설정하여 해결되었습니다.

  CVE-ID

  CVE-2014-4446: Craig Courtney

• 프로파일 관리

  대상: OS X Yosemite v10.10 이후

  영향: LibYAML에서 여러 가지 취약점이 발생하며 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다.

  설명: LibYAML에서 여러 가지 취약점이 발생합니다. 이 문제는 프로파일 관리의 내부 직렬화 형식을 YAML에서 JSON으로 변경하여 해결되었습니다.

  CVE-ID

  CVE-2013-4164

  CVE-2013-6393

• 프로파일 관리

  대상: OS X Yosemite v10.10 이후

  영향: 프로파일 관리에서 프로파일을 설정하거나 편집한 뒤에 로컬 사용자가 암호를 얻을 수 있습니다.

  설명: 특정 환경의 프로파일 관리에서 프로파일을 설정하거나 편집하면 파일에 암호가 기록될 수 있습니다. 이 문제는 향상된 자격 증명 처리를 통해 해결되었습니다.

  CVE-ID

  CVE-2014-4447: Mayo Jordanov

• 서버

  대상: OS X Yosemite v10.10 이후

  영향: 공격자가 SSL로 보호되는 데이터의 암호를 해제할 수 있습니다.

  설명: 일련의 암호가 CBC 모드에서 블록 암호를 사용하는 경우 SSL 3.0의 기밀성을 침해하는 공격이 몇 가지 있습니다. 공격자는 서버에서 개선된 TLS 버전을 지원하는 경우에도 TLS 1.0과 강력한 연결 시도를 차단하여 SSL 3.0을 강제로 사용할 수 있습니다. 이 문제는 웹 서버, 연락처 및 캘린더 서버, 원격 관리에서 SSL 3.0 지원을 비활성화하여 해결되었습니다.

  CVE-ID

  CVE-2014-3566: Google Security Team의 Bodo Moeller, Thai Duong, Krzysztof Kotowicz

• ServerRuby

  대상: OS X Yosemite v10.10 이후

  영향: 신뢰할 수 없는 YAML 태그를 처리하는 Ruby 스크립트 실행 시 응용 프로그램이 예상치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

  설명: YAML 태그의 LibYAML 처리 시 정수 오버플로우가 발생합니다. 이 문제는 추가적인 YAML 태그 확인을 통해 해결되었습니다. 이 문제는 OS X Mavericks 이전 시스템에 영향을 미치지 않습니다.

  CVE-ID

  CVE-2013-6393