关于 OS X Server v4.0 的安全性内容

了解 OS X Server v4.0 的安全性内容。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅 Apple 产品安全性网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。

OS X Server v4.0

  • BIND

    适用于:OS X Yosemite v10.10 或更高版本

    影响:BIND 中存在多个漏洞,其中最严重的漏洞可能导致服务遭拒

    说明:BIND 中存在多个漏洞。这些问题已通过将 BIND 更新到 9.9.2-P2 版得到解决

    CVE-ID

    CVE-2013-3919

    CVE-2013-4854

    CVE-2014-0591

  • CoreCollaboration

    适用于:OS X Yosemite v10.10 或更高版本

    影响:远程攻击者或许能够执行任意 SQL 查询

    说明:Wiki 服务器中存在 SQL 插入问题。此问题已通过对 SQL 查询进行额外验证得到解决。

    CVE-ID

    CVE-2014-4424:Ferdowsi University of Mashhad 的 CERT 的 Sajjad Pourali (sajjad@securation.com)

  • CoreCollaboration

    适用于:OS X Yosemite v10.10 或更高版本

    影响:访问恶意制作的网站可能会导致跨站点脚本攻击

    说明:Xcode Server 中存在跨站点脚本问题。此问题已通过改进对 HTML 输出的编码得到解决。

    CVE-ID

    CVE-2014-4406:Hoyt LLC 的 David Hoyt

  • CoreCollaboration

    适用于:OS X Yosemite v10.10 或更高版本

    影响:PostgreSQL 中存在多个漏洞,其中最严重的漏洞可能会导致任意代码执行

    说明:PostgreSQL 中存在多个漏洞。这些问题已通过将 PostgreSQL 更新至 9.2.7 版得到解决。

    CVE-ID

    CVE-2014-0060

    CVE-2014-0061

    CVE-2014-0062

    CVE-2014-0063

    CVE-2014-0064

    CVE-2014-0065

    CVE-2014-0066

  • 邮件服务

    适用于:OS X Yosemite v10.10 或更高版本

    影响:重新启动邮件服务前,“邮件”的群组 SACL 更改可能不会生效

    说明:“邮件”的 SACL 设置已缓存,并且在重新启动邮件服务前,“邮件”的 SACL 更改未能生效。此问题已通过在更改 SACL 时还原缓存设置得到解决。

    CVE-ID

    CVE-2014-4446:Craig Courtney

  • 描述文件管理器

    适用于:OS X Yosemite v10.10 或更高版本

    影响:LibYAML 中存在多个漏洞,其中最严重的漏洞可能导致任意代码执行

    说明:LibYAML 中存在多个漏洞。这些问题已通过将描述文件管理器的内部序列化格式从 YAML 切换为 JSON 得到解决。

    CVE-ID

    CVE-2013-4164

    CVE-2013-6393

  • 描述文件管理器

    适用于:OS X Yosemite v10.10 或更高版本

    影响:在描述文件管理器中设置或编辑描述文件后,本地用户可能会获得密码

    说明:在某些情况下,在描述文件管理器中设置或编辑描述文件可能会将密码记录到文件中。此问题已通过改进对凭证的处理得到解决。

    CVE-ID

    CVE-2014-4447:Mayo Jordanov

  • 服务器

    适用于:OS X Yosemite v10.10 或更高版本

    影响:攻击者或许能够解密受 SSL 保护的数据

    说明:密码组在 CBC 模式中使用分组密码时存在对 SSL 3.0 保密性的已知攻击。即使服务器支持更好的 TLS 版本,攻击者也可以通过阻止 TLS 1.0 及更高版本的连接尝试来强制使用 SSL 3.0。此问题已通过在 Web 服务器、日历与通讯录服务器和远程管理中停用 SSL 3.0 支持得到解决。

    CVE-ID

    CVE-2014-3566:Google 安全团队的 Bodo Moeller、Thai Duong 和 Krzysztof Kotowicz

  • ServerRuby

    适用于:OS X Yosemite v10.10 或更高版本

    影响:运行处理不受信任的 YAML 标签的 Ruby 脚本 可能导致应用软件意外终止或任意代码执行

    说明:LibYAML 在处理 YAML 标签时存在整数溢出问题。此问题已通过对 YAML 标签进行额外验证得到解决。此问题并不影响 OS X Mavericks 之前的系统。

    CVE-ID

    CVE-2013-6393

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: