Acerca dos conteúdos de segurança do OS X Server v3.0.

Saiba mais acerca dos conteúdos de segurança do OS X Server v3.0.

Este documento descreve os conteúdos de segurança do OS X Server v3.0.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos da Apple.

Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

OS X Server v3.0

  • Profile Manager (Gestor de perfis)

    Disponível para: OS X Mavericks v10.9 ou posterior

    Impacto: um atacante remoto poderá conseguir provocar uma recusa de serviço

    Descrição: o JSON Ruby Gem atribuía memória permanentemente durante a análise de determinadas construções na sua entrada de dados. Um atacante podia explorar esta situação para utilizar toda a memória disponível, levando a uma recusa de serviço. Este problema foi resolvido através da validação adicional de dados JSON.

    ID CVE

    CVE-2013-0269

  • Profile Manager (Gestor de perfis)

    Disponível para: OS X Mavericks v10.9 ou posterior

    Impacto: vários problemas no Ruby on Rails

    Descrição: existiam vários problemas no Ruby on Rails, o mais grave dos quais poderia provocar a execução de scripts entre sites. Estes problemas foram resolvidos através da atualização da implementação do Rails utilizado pelo Profile Manager (Gestor de perfis) para a versão 2.3.18.

    ID CVE

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • FreeRADIUS

    Disponível para: OS X Mavericks v10.9 ou posterior

    Impacto: um atacante remoto poderá provocar uma recusa de serviço ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no FreeRADIUS durante a análise do carimbo de data/hora "não após" num certificado do cliente, quando se utilizavam os métodos EAP baseados em TLS. O problema foi corrigido com a atualização do FreeRADIUS para a versão 2.2.0.

    ID CVE

    CVE-2012-3547

  • App Server (Servidor)

    Disponível para: OS X Mavericks v10.9 ou posterior

    Impacto: o Server poderá utilizar um certificado de retirada durante a autenticação.

    Descrição: existia um problema de lógica através do qual o serviço RADIUS podia escolher um certificado incorreto a partir da lista de certificados configurados. O problema foi resolvido através da utilização do certificado utilizado noutros serviços.

    ID CVE

    CVE-2013-5143: Arek Dreyer da Dreyer Network Consultants, Inc.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: