Om säkerhetsinnehållet i OS X Server 3.0

Läs om säkerhetsinnehållet i OS X Server 3.0.

Det här dokumentet beskriver säkerhetsinnehållet i OS X Server 3.0.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.

OS X Server 3.0

• Profile Manager

  Tillgänglig för: OS X Mavericks 10.9 eller senare

  Effekt: En fjärrangripare kan orsaka att tjänsten avbryts

  Beskrivning: JSON Ruby Gem allokerade minne permanent vid tolkning av vissa konstruktörer i dess indata. En angripare kunde utnyttja detta för att använda allt tillgängligt minne vilket leder till att begärd tjänst nekas. Detta löstes genom ytterligare validering av JSON-data.

  CVE-ID

  CVE-2013-0269

• Profile Manager

  Tillgänglig för: OS X Mavericks 10.9 eller senare

  Effekt: Flera problem i Ruby on Rails

  Beskrivning: Flera problem förekommer i Ruby on Rails av vilka det mest allvarliga kan leda till cross-site-skriptning. Dessa problem åtgärdades genom uppdatering av Rails-implementationen som används av Profile Manager till version 2.3.18.

  CVE-ID

  CVE-2013-1854

  CVE-2013-1855

  CVE-2013-1856

  CVE-2013-1857

• FreeRADIUS

  Tillgänglig för: OS X Mavericks 10.9 eller senare

  Effekt: En fjärrangripare kan orsaka att begärda tjänster nekas eller exekvering av opålitlig kod

  Beskrivning: Ett buffertspill förekom i FreeRADIUS vid tolkning av ”not after”-tidsstämpeln i ett klientcertifikat vid användning av TLS-baserade EAP-metoder. Det här problemet åtgärdades genom uppdatering av FreeRADIUS till version 2.2.0.

  CVE-ID

  CVE-2012-3547

• Server-programmet

  Tillgänglig för: OS X Mavericks 10.9 eller senare

  Effekt: Servern kan använda ett fallbackcertifikat under autentisering

  Beskrivning: Ett logiskt problem existerade där RADIUS-tjänsten kunde välja ett felaktigt certifikat från listan med konfigurerade certifikat. Problemet åtgärdades genom att tjänsten använder samma certifikat som övriga tjänster.

  CVE-ID

  CVE-2013-5143: Arek Dreyer på Dreyer Network Consultants, Inc.