macOS 10.15.x < 10.15.6 / 10.14.x < 10.14.6 安全性更新 2020-004 / 10.13.x < 10.13.6 安全性更新 2020-004
critical Nessus Plugin ID 141100
語系:
概要
遠端主機缺少一個 macOS 安全性更新說明
遠端主機執行的 macOS / Mac OS X 版本為 10.13.6 安全性更新 2020-004 之前的 10.13.x 版、10.14.6 安全性更新 2020-004 之前的 10.14.x 版或 10.15.6 之前的 10.15.x 版。因此,它會受到包括以下在內的多個弱點影響:- 在 Linux、FreeBSD、OpenBSD、MacOS、iOS 和 Android 中發現的一個弱點,其允許惡意存取點或相鄰使用者判斷連線的使用者是否正在使用 VPN,對使用者所造訪的網站進行正面推斷,並確定使用中的正確序列和確認編號,進而允許惡意執行者將資料插入 TCP 資料流。這可以提供攻擊者劫持 VPN 通道內作用中連線所需的所有內容。(CVE-2019-14899)
- cyrus-sasl (即 Cyrus SASL) 2.1.27 有一個超出邊界寫入問題,會透過格式錯誤的 LDAP 封包導致 OpenLDAP 中發生未經驗證的遠端拒絕服務。最終因 cyrus-sasl 的 common.c 中 _sasl_add_string 的差一錯誤導致 OpenLDAP 損毀。 (CVE-2019-19906)
- 在 8.1.0881 之前的 Vim 中,使用者可透過指令碼介面 (例如 Python、Ruby 或 Lua) 規避 rvim 受限模式並執行任意 OS 命令。(CVE-2019-20807)
- rsync 3.1.1允許遠端攻擊者透過對同步路徑中的檔案發動符號連結攻擊,寫入任意檔案 (CVE-2014-9512)。
請注意,Nessus 並未測試此問題,而是僅依據作業系統自我報告的版本號碼。
解決方案
升級至 macOS 10.13.6 安全性更新 2020-004 / 10.14.6 安全性更新 2020-004 / 10.15.6 或更新版本另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 141100
檔案名稱: macos_HT211289.nasl
版本: 1.10
類型: local
代理程式: macosx
已發布: 2020/10/1
已更新: 2022/11/21
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 8.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2020-9918
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 9.4
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:H/RL:O/RC:C
弱點資訊
CPE: cpe:/o:apple:mac_os_x, cpe:/o:apple:macos
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2020/7/10
弱點發布日期: 2019/12/11
CISA 已知遭惡意利用弱點到期日: 2022/9/29
參考資訊
CVE: CVE-2014-9512, CVE-2019-14899, CVE-2019-19906, CVE-2019-20807, CVE-2020-11758, CVE-2020-11759, CVE-2020-11760, CVE-2020-11761, CVE-2020-11762, CVE-2020-11763, CVE-2020-11764, CVE-2020-11765, CVE-2020-12243, CVE-2020-9799, CVE-2020-9854, CVE-2020-9863, CVE-2020-9864, CVE-2020-9865, CVE-2020-9866, CVE-2020-9868, CVE-2020-9869, CVE-2020-9870, CVE-2020-9871, CVE-2020-9872, CVE-2020-9873, CVE-2020-9874, CVE-2020-9875, CVE-2020-9876, CVE-2020-9877, CVE-2020-9878, CVE-2020-9879, CVE-2020-9880, CVE-2020-9881, CVE-2020-9882, CVE-2020-9883, CVE-2020-9884, CVE-2020-9885, CVE-2020-9887, CVE-2020-9888, CVE-2020-9889, CVE-2020-9890, CVE-2020-9891, CVE-2020-9892, CVE-2020-9898, CVE-2020-9899, CVE-2020-9900, CVE-2020-9901, CVE-2020-9902, CVE-2020-9904, CVE-2020-9905, CVE-2020-9906, CVE-2020-9908, CVE-2020-9913, CVE-2020-9918, CVE-2020-9919, CVE-2020-9920, CVE-2020-9921, CVE-2020-9924, CVE-2020-9927, CVE-2020-9928, CVE-2020-9929, CVE-2020-9934, CVE-2020-9935, CVE-2020-9936, CVE-2020-9937, CVE-2020-9938, CVE-2020-9939, CVE-2020-9940, CVE-2020-9980, CVE-2020-9984, CVE-2020-9985, CVE-2020-9990, CVE-2020-9994, CVE-2020-9997
APPLE-SA: APPLE-SA-2020-07-15, HT211289
IAVA: 2020-A-0539-S
IAVB: 2020-B-0053-S