Сведения о проблемах безопасности, устраняемых в ОС OS X Server 3.0

Узнайте о проблемах безопасности, устраняемых в ОС OS X Server 3.0.

В данном документе описываются проблемы безопасности, устраняемые в ОС OS X Server 3.0.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

ОС OS X Server 3.0

  • Диспетчер профилей

    Доступно для ОС OS X Mavericks 10.9 и более поздних версий.

    Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании.

    Описание. JSON Ruby Gem постоянно выделял память при анализе определенных конструкций во входных данных. Злоумышленник мог воспользоваться этой уязвимостью для использования всей доступной памяти с целью вызова отказа в обслуживании. Эта проблема решена путем дополнительной проверки данных JSON.

    Идентификатор CVE

    CVE-2013-0269

  • Диспетчер профилей

    Доступно для ОС OS X Mavericks 10.9 и более поздних версий.

    Воздействие. Множественные уязвимости в среде Ruby on Rails

    Описание. В Ruby on Rails содержалось несколько проблем, наиболее серьезные из которых могут допустить проведение атаки на основе межсайтовых сценариев. Эти проблемы устранены путем обновления реализации Rails, используемой программой «Менеджер профилей», до версии 2.3.18.

    Идентификатор CVE

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • FreeRADIUS

    Доступно для ОС OS X Mavericks 10.9 и более поздних версий.

    Воздействие. Удаленный злоумышленник может получить возможность спровоцировать отказ в обслуживании или выполнение произвольного кода

    Описание. В FreeRADIUS возникало переполнение буфера при анализе отметки времени «не после» в клиентском сертификате, когда использовались методы EAP на базе TLS. Проблема устранена путем обновления FreeRADIUS до версии 2.2.0.

    Идентификатор CVE

    CVE-2012-3547

  • Программа Server

    Доступно для ОС OS X Mavericks 10.9 и более поздних версий.

    Воздействие. Server может использовать резервный сертификат во время идентификации

    Описание. Существовала логическая проблема, из-за которой служба RADIUS могла выбрать неправильный сертификат из списка настроенных сертификатов. Проблема устранена путем использования того же сертификата, что и для других служб.

    Идентификатор CVE

    CVE-2013-5143: Арек Дрейер (Arek Dreyer) из Dreyer Network Consultants, Inc.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: