关于 OS X Server v3.0 的安全性内容

了解有关 OS X Server v3.0 的安全性内容。

本文介绍了 OS X Server v3.0 的安全性内容。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。

OS X Server v3.0

  • 描述文件管理器

    适用于:OS X Mavericks v10.9 或更高版本

    影响:远程攻击者或可导致服务遭到拒绝

    说明:在解析其输入中的某些结构时,JSON Ruby Gem 永久分配了内存。攻击者会利用此漏洞来使用所有可用内存,从而导致服务遭到拒绝。此问题已通过对 JSON 数据进行额外验证得到解决。

    CVE-ID

    CVE-2013-0269

  • 描述文件管理器

    适用于:OS X Mavericks v10.9 或更高版本

    影响:Ruby on Rails 中存在多个问题

    说明:Ruby on Rails 中存在多个问题,其中最严重的问题可能导致跨站点脚本编写。这些问题已通过将“描述文件管理器”使用的 Rails 执行方案更新到 2.3.18 版得到解决。

    CVE-ID

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • FreeRADIUS

    适用于:OS X Mavericks v10.9 或更高版本

    影响:远程攻击者或可导致服务遭拒绝或任意代码执行

    说明:使用基于 TLS 的 EAP 方法时,在解析客户证书中的“不晚于”时间戳的过程中,FreeRADIUS 中存在缓冲区溢出问题。此问题已通过将 FreeRADIUS 更新到 2.2.0 版得到解决。

    CVE-ID

    CVE-2012-3547

  • Server App

    适用于:OS X Mavericks v10.9 或更高版本

    影响:在鉴定期间,服务器可能会使用退回证书

    说明:存在逻辑问题,RADIUS 服务可能会依此从已配置的证书列表中选取不正确的证书。此问题已通过使用与其他服务相同的证书得到解决。

    CVE-ID

    CVE-2013-5143:Dreyer Network Consultants, Inc. 的 Arek Dreyer

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: