關於 OS X Server v4.0 的安全性內容

瞭解 OS X Server v4.0 的安全性內容。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參照安全關漏洞的進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

OS X Server v4.0

  • BIND

    適用於:OS X Yosemite v10.10 或以上版本

    影響:BIND 有多個漏洞,最嚴重者可能導致阻斷服務

    說明:BIND 有多個漏洞。將 BIND 更新到版本 9.9.2-P2 後,已解決這些問題

    CVE-ID

    CVE-2013-3919

    CVE-2013-4854

    CVE-2014-0591

  • CoreCollaboration

    適用於:OS X Yosemite v10.10 或以上版本

    影響:遠端攻擊者可能可以執行任意 SQL 查詢

    說明:Wiki Server 有 SQL 注入問題。增加 SQL 查詢的驗證機制後,已解決此問題。

    CVE-ID

    CVE-2014-4424:位於馬什哈德的 Ferdowsi 大學 CERT 的 Sajjad Pourali(sajjad@securation.com)

  • CoreCollaboration

    適用於:OS X Yosemite v10.10 或以上版本

    影響:參訪惡意製作的網站,可能導致跨網站指令碼攻擊

    說明:Xcode Server 有跨網站指令碼攻擊問題。改良 HTML 輸出的編碼後,已解決此問題。

    CVE-ID

    CVE-2014-4406:Hoyt LLC 的 David Hoyt

  • CoreCollaboration

    適用於:OS X Yosemite v10.10 或以上版本

    影響:PostgreSQL 有多個漏洞,最嚴重者可能導致任意程式碼得以執行

    說明:PostgreSQL 有多個漏洞。將 PostgreSQL 更新至版本 9.2.7 後,已解決這些問題。

    CVE-ID

    CVE-2014-0060

    CVE-2014-0061

    CVE-2014-0062

    CVE-2014-0063

    CVE-2014-0064

    CVE-2014-0065

    CVE-2014-0066

  • 「郵件」服務

    適用於:OS X Yosemite v10.10 或以上版本

    影響:「郵件」服務重新啟動後,「郵件」的群組 SACL 變更才會生效

    說明:已快取「郵件」的 SACL 設定,「郵件」服務重新啟動後,SACL 變更才會生效。變更 SACL 時重設快取,已解決此問題。

    CVE-ID

    CVE-2014-4446:Craig Courtney

  • 描述檔管理程式

    適用於:OS X Yosemite v10.10 或以上版本

    影響:LibYAML 有多個漏洞,最嚴重者可能導致任意程式碼得以執行

    說明:LibYAML 有多個漏洞。將 YAML 切換為 JSON,做為「描述檔管理程式」的內部序列化格式後,已解決這些問題。

    CVE-ID

    CVE-2013-4164

    CVE-2013-6393

  • 描述檔管理程式

    適用於:OS X Yosemite v10.10 或以上版本

    影響:本機使用者可以在「描述檔管理程式」中設定或編輯設定檔後取得密碼

    說明:在某些情況下,在「描述檔管理程式」中設定或編輯設定檔可能將密碼記錄到檔案中。改良憑證的處理方式後,已解決此問題。

    CVE-ID

    CVE-2014-4447:Mayo Jordanov

  • 伺服器

    適用於:OS X Yosemite v10.10 或以上版本

    影響:攻擊者可能得以將受到 SSL 保護的資料加以解密

    說明:加密套件在 CBC 模式中使用區塊加密時,對於 SSL 3.0 的機密性有已知的攻擊。即使伺服器支援更好的 TLS 版本,攻擊者可以也能夠阻絕 TLS 1.0(含)以上版本的連線嘗試,強制使用 SSL 3.0。此問題已經獲得解決,方式是在 Web Server、Calendar & Contacts Server 和 Remote Administration 中停止支援 SSL 3.0。

    CVE-ID

    CVE-2014-3566:Google Security Team 的 Bodo Moeller、Thai Duong 和 Krzysztof Kotowicz

  • ServerRuby

    適用於:OS X Yosemite v10.10 或以上版本

    影響:執行處理不受信任的 YAML 標記的 Ruby 工序指令,可能導致應用程式意外終止或任意程式碼得以執行

    說明:LibYAML 處理 YAML 標記的方法,有整數溢位的問題。增加 YAML 標記的驗證機制後,已解決此問題。此問題不會影響 OS X Mavericks 之前的系統。

    CVE-ID

    CVE-2013-6393

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商

發佈日期: