關於 OS X Server v4.1 的安全性內容

瞭解 OS X Server v4.1 的安全性內容。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認安全性問題。若要進一步瞭解 Apple 產品安全性，請參閱「Apple 產品安全性」網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊，請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能，CVE ID 會用來參考安全漏洞，以取得進一步資訊。

若要瞭解其他安全性更新，請參閱「Apple 安全性更新」。

OS X Server v4.1

• Dovecot

  適用於：OS X Yosemite v10.10 或以上版本

  影響：攻擊者可能得以將受到 SSL 保護的資料加以解密

  說明：加密套件在 CBC 模式中使用區塊加密時，對於 SSL 3.0 的機密性有已知的攻擊。即使伺服器支援更好的 TLS 版本，攻擊者可以也能夠阻絕 TLS 1.0（含）以上版本的連線嘗試，強制使用 SSL 3.0。停用 Dovecot 中的 SSL 3.0 支援後，已解決此問題。

  CVE-ID

  CVE-2014-3566

• 防火牆

  適用於：OS X Yosemite v10.10 或以上版本

  影響：可能無法強制執行自定防火牆規則

  說明：防火牆設定檔案出現不正確的路徑參照。在修復指向正確設定檔案的路徑後，已解決此問題。

  CVE-ID

  CVE-2015-1150：芝加哥大學 Research Computing Group 的 Phil Schumm

• Postfix

  適用於：OS X Yosemite v10.10 或以上版本

  影響：攻擊者可能得以將受到 SSL 保護的資料加以解密

  說明：加密套件在 CBC 模式中使用區塊加密時，對於 SSL 3.0 的機密性有已知的攻擊。即使伺服器支援更好的 TLS 版本，攻擊者可以也能夠阻絕 TLS 1.0（含）以上版本的連線嘗試，強制使用 SSL 3.0。停用 Postfix 中的 SSL 3.0 支援後，已解決此問題。

  CVE-ID

  CVE-2014-3566

• Wiki 伺服器

  適用於：OS X Yosemite v10.10 或以上版本

  影響：行動裝置上可能無法強制執行存取控制

  說明：iPad 用戶端無法強制執行「活動」和「人物」Wiki 頁面的存取控制。改進存取控制的驗證機制後，已解決此問題。

  CVE-ID

  CVE-2015-1151