macOS 15.x < 15.1 多個弱點 (121564)

critical Nessus Plugin ID 211696

概要

遠端主機缺少可修正多個弱點的 macOS 更新

說明

遠端主機執行的 macOS/Mac OS X 版本為 15.1 之前的 15.x 版。因此會受到多個弱點影響:

- 已透過改進邊界檢查解決此問題。此問題已在 iOS 18.1 和 iPadOS 18.1 中修正。- 攻擊者可在 DCP 韌體中造成應用程式意外終止,或執行任意程式碼。
(CVE-2024-44241、CVE-2024-44242、CVE-2024-44299)

- Apache HTTP Server 2.4.59 和更舊版本的核心容易受到資訊洩漏、SSRF 或本機指令碼執行弱點的影響,攻擊者可透過具有惡意或可遭惡意利用的回應標頭的後端應用程式發動攻擊。建議使用者升級至已修正此問題 2.4.60 版。(CVE-2024-38476)

- 在 Apache HTTP Server 2.4.59 和更舊版本中,mod_proxy 中存在 NULL 指標解除參照問題。此弱點可讓攻擊者透過惡意要求造成伺服器當機。建議使用者升級至已修正此問題 2.4.60 版。(CVE-2024-38477)

- 在 Apache HTTP Server 2.4.59 和更舊版本中,mod_rewrite 中存在潛在 SSRF 問題。此弱點可讓攻擊者造成不安全的 RewriteRules,意外將 URL 設定為由 mod_proxy 處理。建議使用者升級至已修正此問題 2.4.60 版。(CVE-2024-39573)

- 已透過改進記憶體處理解決記憶體初始化問題。已在 iOS 18.1 和 iPadOS 18.1、iOS 17.7.1 和 iPadOS 17.7.1、macOS Sonoma 14.7.1、macOS Ventura 13.7.1 中修正此問題。應用程式或許能夠造成系統意外終止。(CVE-2024-40854)

請注意,Nessus 並未測試這些問題,而是僅依據作業系統自我報告的版本號碼作出判斷。

解決方案

升級至 macOS 15.1 或更新版本。

另請參閱

https://support.apple.com/en-us/121564

Plugin 詳細資訊

嚴重性: Critical

ID: 211696

檔案名稱: macos_121564.nasl

版本: 1.7

類型: local

代理程式: macosx

已發布: 2024/11/21

已更新: 2025/1/30

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2024-44299

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:apple:mac_os_x:15.0, cpe:/o:apple:macos:15.0

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/11/1

弱點發布日期: 2024/7/1

參考資訊

CVE: CVE-2024-38476, CVE-2024-38477, CVE-2024-39573, CVE-2024-40849, CVE-2024-40854, CVE-2024-40858, CVE-2024-44156, CVE-2024-44159, CVE-2024-44194, CVE-2024-44195, CVE-2024-44196, CVE-2024-44197, CVE-2024-44200, CVE-2024-44201, CVE-2024-44211, CVE-2024-44212, CVE-2024-44213, CVE-2024-44215, CVE-2024-44216, CVE-2024-44218, CVE-2024-44219, CVE-2024-44222, CVE-2024-44223, CVE-2024-44229, CVE-2024-44231, CVE-2024-44232, CVE-2024-44233, CVE-2024-44234, CVE-2024-44236, CVE-2024-44237, CVE-2024-44239, CVE-2024-44240, CVE-2024-44241, CVE-2024-44242, CVE-2024-44244, CVE-2024-44247, CVE-2024-44248, CVE-2024-44250, CVE-2024-44253, CVE-2024-44254, CVE-2024-44255, CVE-2024-44256, CVE-2024-44257, CVE-2024-44259, CVE-2024-44260, CVE-2024-44264, CVE-2024-44265, CVE-2024-44267, CVE-2024-44269, CVE-2024-44270, CVE-2024-44273, CVE-2024-44275, CVE-2024-44277, CVE-2024-44278, CVE-2024-44279, CVE-2024-44280, CVE-2024-44281, CVE-2024-44282, CVE-2024-44283, CVE-2024-44284, CVE-2024-44285, CVE-2024-44286, CVE-2024-44287, CVE-2024-44289, CVE-2024-44290, CVE-2024-44292, CVE-2024-44293, CVE-2024-44294, CVE-2024-44295, CVE-2024-44296, CVE-2024-44297, CVE-2024-44298, CVE-2024-44299, CVE-2024-44301, CVE-2024-44302, CVE-2024-44303, CVE-2024-54471, CVE-2024-54535, CVE-2024-54538

APPLE-SA: 121564

IAVA: 2024-A-0793-S