关于 OS X Server v3.0 的安全性内容

了解有关 OS X Server v3.0 的安全性内容。

本文介绍了 OS X Server v3.0 的安全性内容。

为保护我们的客户，在未进行详尽调查并推出必要的修补程序或发行版之前，Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息，请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能，请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息，请参阅“Apple 安全性更新”。

OS X Server v3.0

• 描述文件管理器

  适用于：OS X Mavericks v10.9 或更高版本

  影响：远程攻击者或可导致服务遭到拒绝

  说明：在解析其输入中的某些结构时，JSON Ruby Gem 永久分配了内存。攻击者会利用此漏洞来使用所有可用内存，从而导致服务遭到拒绝。此问题已通过对 JSON 数据进行额外验证得到解决。

  CVE-ID

  CVE-2013-0269

• 描述文件管理器

  适用于：OS X Mavericks v10.9 或更高版本

  影响：Ruby on Rails 中存在多个问题

  说明：Ruby on Rails 中存在多个问题，其中最严重的问题可能导致跨站点脚本编写。这些问题已通过将“描述文件管理器”使用的 Rails 执行方案更新到 2.3.18 版得到解决。

  CVE-ID

  CVE-2013-1854

  CVE-2013-1855

  CVE-2013-1856

  CVE-2013-1857

• FreeRADIUS

  适用于：OS X Mavericks v10.9 或更高版本

  影响：远程攻击者或可导致服务遭拒绝或任意代码执行

  说明：使用基于 TLS 的 EAP 方法时，在解析客户证书中的“不晚于”时间戳的过程中，FreeRADIUS 中存在缓冲区溢出问题。此问题已通过将 FreeRADIUS 更新到 2.2.0 版得到解决。

  CVE-ID

  CVE-2012-3547

• Server App

  适用于：OS X Mavericks v10.9 或更高版本

  影响：在鉴定期间，服务器可能会使用退回证书

  说明：存在逻辑问题，RADIUS 服务可能会依此从已配置的证书列表中选取不正确的证书。此问题已通过使用与其他服务相同的证书得到解决。

  CVE-ID

  CVE-2013-5143：Dreyer Network Consultants, Inc. 的 Arek Dreyer