关于 Xcode 7.0 的安全性内容

本文介绍了 Xcode 7.0 的安全性内容。

为了保护我们的客户，在进行详尽调查并推出任何必要的修补程序或发行版之前，Apple 不会透露、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新，请参阅“Apple 安全性更新”。

Xcode 7.0

• DevTools

  适用于：OS X Yosemite v10.10.4 或更高版本

  影响：攻击者或许能够绕过访问限制

  描述：apache 配置中存在 API 问题。已通过更新头文件来使用最新版本解决这个问题。

  CVE-ID

  CVE-2015-3185：Apache Software Foundation 的 Branko Äibej

• IDE Xcode Server

  适用于：OS X Yosemite v10.10.4 或更高版本

  影响：攻击者或许能够访问文件系统的受限制部分

  描述：0.8.4 版之前的 node.js 发送模块中存在比较问题。已通过升级至版本 0.12.3 解决这个问题。

  CVE-ID

  CVE-2014-6394：Ilya Kantor

• IDE Xcode Server

  适用于：OS X Yosemite v10.10.4 或更高版本

  影响：OpenSSL 中存在多个漏洞

  描述：1.0.1j 版之前的 node.js OpenSSL 模块中存在多个漏洞。已通过将 openssl 更新至版本 1.0.1j 解决这些问题。

  CVE-ID

  CVE-2014-3513

  CVE-2014-3566

  CVE-2014-3567

  CVE-2014-3568

• IDE Xcode Server

  适用于：OS X Yosemite v10.10.4 或更高版本

  影响：拥有特权网络地位的攻击者或许能够检查 Xcode Server 的流量

  描述：与 Xcode Server 的连接可能没有加密。已通过改进网络连接逻辑解决这个问题。

  CVE-ID

  CVE-2015-5910：一位匿名研究者

• IDE Xcode Server

  适用于：OS X Yosemite v10.10.4 或更高版本

  影响：生成通知可能会发送给预期之外的收件人

  描述：处理储存库电子邮件列表时存在访问问题。已通过改进验证解决这个问题。

  CVE-ID

  CVE-2015-5909：Rocket Apps 的 Daniel Tomlinson、Anchorfree 的 David Gatwood

• subversion

  适用于：OS X Yosemite v10.10.4 或更高版本

  影响：1.7.19 版之前的 svn 版本中存在多个漏洞

  描述：1.7.19 版之前的 svn 版本中存在多个漏洞。已通过将 svn 更新至版本 1.7.20 解决这些问题。

  CVE-ID

  CVE-2015-0248

  CVE-2015-0251