Om säkerhetsinnehållet i OS X Server 3.0

Läs om säkerhetsinnehållet i OS X Server 3.0.

Det här dokumentet beskriver säkerhetsinnehållet i OS X Server 3.0.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.

OS X Server 3.0

  • Profile Manager

    Tillgänglig för: OS X Mavericks 10.9 eller senare

    Effekt: En fjärrangripare kan orsaka att tjänsten avbryts

    Beskrivning: JSON Ruby Gem allokerade minne permanent vid tolkning av vissa konstruktörer i dess indata. En angripare kunde utnyttja detta för att använda allt tillgängligt minne vilket leder till att begärd tjänst nekas. Detta löstes genom ytterligare validering av JSON-data.

    CVE-ID

    CVE-2013-0269

  • Profile Manager

    Tillgänglig för: OS X Mavericks 10.9 eller senare

    Effekt: Flera problem i Ruby on Rails

    Beskrivning: Flera problem förekommer i Ruby on Rails av vilka det mest allvarliga kan leda till cross-site-skriptning. Dessa problem åtgärdades genom uppdatering av Rails-implementationen som används av Profile Manager till version 2.3.18.

    CVE-ID

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • FreeRADIUS

    Tillgänglig för: OS X Mavericks 10.9 eller senare

    Effekt: En fjärrangripare kan orsaka att begärda tjänster nekas eller exekvering av opålitlig kod

    Beskrivning: Ett buffertspill förekom i FreeRADIUS vid tolkning av ”not after”-tidsstämpeln i ett klientcertifikat vid användning av TLS-baserade EAP-metoder. Det här problemet åtgärdades genom uppdatering av FreeRADIUS till version 2.2.0.

    CVE-ID

    CVE-2012-3547

  • Server-programmet

    Tillgänglig för: OS X Mavericks 10.9 eller senare

    Effekt: Servern kan använda ett fallbackcertifikat under autentisering

    Beskrivning: Ett logiskt problem existerade där RADIUS-tjänsten kunde välja ett felaktigt certifikat från listan med konfigurerade certifikat. Problemet åtgärdades genom att tjänsten använder samma certifikat som övriga tjänster.

    CVE-ID

    CVE-2013-5143: Arek Dreyer på Dreyer Network Consultants, Inc.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: