Mac OS X : OS X Server < 4.0 多個弱點 (POODLE)

medium Nessus Plugin ID 78601

語系：

概要

遠端主機缺少一個適用於 OS X 伺服器的安全性更新。

說明

遠端 Mac OS X 主機上安裝的 OS X Server 版本比 4.0 版舊。因此受到以下弱點影響：

- 隨附的 BIND 中有多個弱點，其中最嚴重的弱點可導致拒絕服務。(CVE-2013-3919、CVE-2013-4854、CVE-2014-0591)

- Profile Manager 和 ServerRuby 隨附的 LibYAML 中有多個弱點，其中最嚴重的弱點可導致任意程式碼執行。
(CVE-2013-4164、CVE-2013-6393)

- 隨附的 PostgreSQL 中有多個弱點，其中最嚴重的弱點可導致任意程式碼執行。(CVE-2014-0060、CVE-2014-0061、CVE-2014-0062、CVE-2014-0063、CVE-2014-0064、CVE-2014-0065、CVE-2014-0066)

- 在加密區塊鏈結 (CBC) 模式下解密使用區塊編碼器所加密的訊息時，存在與 SSL 3.0 處理填補位元組方式相關的錯誤。攔截式攻擊者若能夠強制受影響的應用程式透過新建立的 SSL 3.0 連線重複傳送相同資料，即可嘗試解密所選的加密文字位元組 256 次。此錯誤亦稱為「POODLE」問題。(CVE-2014-3566)

- Xcode Server 中存在一個跨網站指令碼瑕疵，這是因為未正確驗證輸入即將其傳回給使用者所導致。這可允許遠端攻擊者使用特製的要求，在瀏覽器/伺服器信任關係中執行程式碼。(CVE-2014-4406)

- Wiki Server 中存在一個 SQL 插入瑕疵，這是因為未正確清理使用者輸入就在 SQL 查詢中使用該輸入所導致。這可允許遠端攻擊者使用特製要求插入或操控 SQL 查詢，進而允許操控或洩漏任意資料。(CVE-2014-4424)

- 郵件伺服器中存在一個限制繞過瑕疵，這是因為快取了 SCAL 變更，且在服務重新啟動前未強制執行所導致。這可允許經驗證的遠端攻擊者繞過這些限制。
(CVE-2014-4446)

- Profile Manager 中存在一個密碼洩漏瑕疵，這是因為編輯或設定設定檔時，可能將密碼儲存至某檔案所導致。這可允許本機攻擊者取得密碼資訊的存取權。
(CVE-2014-4447)