Acerca dos conteúdos de segurança do OS X Server v3.0.
Saiba mais acerca dos conteúdos de segurança do OS X Server v3.0.
Este documento descreve os conteúdos de segurança do OS X Server v3.0.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.
Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos da Apple.
Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
OS X Server v3.0
Profile Manager (Gestor de perfis)
Disponível para: OS X Mavericks v10.9 ou posterior
Impacto: um atacante remoto poderá conseguir provocar uma recusa de serviço
Descrição: o JSON Ruby Gem atribuía memória permanentemente durante a análise de determinadas construções na sua entrada de dados. Um atacante podia explorar esta situação para utilizar toda a memória disponível, levando a uma recusa de serviço. Este problema foi resolvido através da validação adicional de dados JSON.
ID CVE
CVE-2013-0269
Profile Manager (Gestor de perfis)
Disponível para: OS X Mavericks v10.9 ou posterior
Impacto: vários problemas no Ruby on Rails
Descrição: existiam vários problemas no Ruby on Rails, o mais grave dos quais poderia provocar a execução de scripts entre sites. Estes problemas foram resolvidos através da atualização da implementação do Rails utilizado pelo Profile Manager (Gestor de perfis) para a versão 2.3.18.
ID CVE
CVE-2013-1854
CVE-2013-1855
CVE-2013-1856
CVE-2013-1857
FreeRADIUS
Disponível para: OS X Mavericks v10.9 ou posterior
Impacto: um atacante remoto poderá provocar uma recusa de serviço ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no FreeRADIUS durante a análise do carimbo de data/hora "não após" num certificado do cliente, quando se utilizavam os métodos EAP baseados em TLS. O problema foi corrigido com a atualização do FreeRADIUS para a versão 2.2.0.
ID CVE
CVE-2012-3547
App Server (Servidor)
Disponível para: OS X Mavericks v10.9 ou posterior
Impacto: o Server poderá utilizar um certificado de retirada durante a autenticação.
Descrição: existia um problema de lógica através do qual o serviço RADIUS podia escolher um certificado incorreto a partir da lista de certificados configurados. O problema foi resolvido através da utilização do certificado utilizado noutros serviços.
ID CVE
CVE-2013-5143: Arek Dreyer da Dreyer Network Consultants, Inc.
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.