Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w oprogramowaniu OS X Server 3.0.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
OS X Server 3.0
- 

- 

Narzędzie Profile Manager

Dostępne dla: OS X Mavericks 10.9 lub nowszy

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: gem JSON języka Ruby trwale alokował pamięć przy parsowaniu niektórych konstrukcji w danych wejściowych. Atakujący mógł to wykorzystać do zajęcia całej dostępnej pamięci i doprowadzić w ten sposób do odmowy usługi. Ten problem rozwiązano przez wprowadzenie dodatkowej procedury sprawdzania poprawności danych JSON.

Identyfikator CVE

CVE-2013-0269

 

- 

- 

Narzędzie Profile Manager

Dostępne dla: OS X Mavericks 10.9 lub nowszy

Zagrożenie: wiele błędów w środowisku Ruby on Rails.

Opis: w środowisku Ruby on Rails występowało wiele luk, z których najpoważniejsze mogły umożliwić atak XSS (cross-site scripting). Ten problem rozwiązano przez uaktualnienie implementacji środowiska Rails wykorzystywanej przez program Profile Manager do wersji 2.3.18.

Identyfikator CVE

CVE-2013-1854

CVE-2013-1855

CVE-2013-1856

CVE-2013-1857

 

- 

- 

FreeRADIUS

Dostępne dla: OS X Mavericks 10.9 lub nowszy

Zagrożenie: osoba atakująca zdalnie może przeprowadzić atak typu „odmowa usługi” lub spowodować wykonanie dowolnego kodu.

Opis: w oprogramowaniu FreeRADIUS dochodziło do przepełnienia buforu podczas parsowania sygnatury czasowej „not after” w certyfikacie klienta, gdy wykorzystywane były metody EAP bazujące na protokole TLS. Ten problem rozwiązano przez uaktualnienie oprogramowania FreeRADIUS do wersji 2.2.0.

Identyfikator CVE

CVE-2012-3547

 

- 

- 

Aplikacja Server

Dostępne dla: OS X Mavericks 10.9 lub nowszy

Zagrożenie: aplikacja Server może korzystać z rezerwowego certyfikatu podczas uwierzytelniania.

Opis: problem polegał na występowaniu błędu logicznego, w wyniku którego usługa RADIUS mogła wybrać niewłaściwy certyfikat z listy skonfigurowanych certyfikatów. Ten problem rozwiązano przez korzystanie z tego samego certyfikatu co inne usługi.

Identyfikator CVE

CVE-2013-5143: Arek Dreyer z firmy Dreyer Network Consultants, Inc.