Проблемы безопасности, устраняемые обновлением Xcode 7.0

В настоящем документе описываются проблемы безопасности, устраняемые в Xcode 7.0.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Xcode 7.0

  • DevTools

    Доступно для: ОС OS X Yosemite 10.10.4 и более поздних версий.

    Воздействие. У злоумышленника может появиться возможность обойти ограничения доступа.

    Описание. В конфигурации apache имелась проблема с API. Эта проблема решена путем обновления файлов заголовка для использования последней версии.

    Идентификатор CVE

    CVE-2015-3185: Branko Äibej (Бранко Айбеж) из Apache Software Foundation

  • IDE Xcode Server

    Доступно для: ОС OS X Yosemite 10.10.4 и более поздних версий.

    Воздействие. Злоумышленник может получить доступ к закрытым частям файловой системы

    Описание. В модуле отправки node.js до версии 0.8.4 существовала проблема сравнения. Эта проблема решена путем обновления до версии 0.12.3.

    Идентификатор CVE

    CVE-2014-6394: Илья Кантор (Ilya Kantor)

  • IDE Xcode Server

    Доступно для: ОС OS X Yosemite 10.10.4 и более поздних версий.

    Воздействие. В OpenSSL обнаружен ряд уязвимостей.

    Описание. Несколько уязвимостей существовало в node.js OpenSSL до версии 1.0.1j. Проблемы устранены путем обновления OpenSSL до версии 1.0.1j.

    Идентификатор CVE

    CVE-2014-3513

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • IDE Xcode Server

    Доступно для: ОС OS X Yosemite 10.10.4 и более поздних версий.

    Воздействие. Злоумышленник с преимущественным положением в сети может отслеживать трафик на Xcode Server

    Описание. Подключения к Xcode Server могли устанавливаться без применения шифрования. Эта проблема решена посредством улучшения логики сетевого подключения.

    Идентификатор CVE

    CVE-2015-5910: анонимный исследователь

  • IDE Xcode Server

    Доступно для: ОС OS X Yosemite 10.10.4 и более поздних версий.

    Воздействие. Уведомления о сборках могут отправляться получателям, которым они не предназначались

    Описание. При обработке списков рассылок электронной почты в репозитории возникала проблема доступа. Проблема устранена путем улучшенной проверки.

    Идентификатор CVE

    CVE-2015-5909: Дэниел Томлинсон (Daniel Tomlinson) из Rocket Apps, Дэвид Гэтвуд (David Gatwood) из Anchorfree

  • Subversion

    Доступно для: ОС OS X Yosemite 10.10.4 и более поздних версий.

    Воздействие. В версиях svn до 1.7.19 существовал ряд уязвимостей

    Описание. В версиях svn, предшествующих 1.7.19, существовал ряд уязвимостей. Они устранены путем обновления svn до версии 1.7.20.

    Идентификатор CVE

    CVE-2015-0248

    CVE-2015-0251

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: