Mac OS X：OS X Server < 4.0 多种漏洞 (POODLE)

medium Nessus 插件 ID 78601

语言：

简介

远程主机缺少 OS X Server 的安全更新。

描述

远程 Mac OS X 主机上安装的 OS X Server 版本低于.4.0。因此，它受到以下漏洞的影响：

- 包括的 BIND 中存在多个漏洞，其中最严重的漏洞可导致拒绝服务。（CVE-2013-3919、CVE-2013-4854、CVE-2014-0591）

- Profile Manager 和 ServerRuby 包括的 LibYAML 中存在多个漏洞，其中最严重的漏洞可导致任意代码执行。
（CVE-2013-4164、CVE-2013-6393）

- 包括的 PostgreSQL 中存在多个漏洞，其中最严重的漏洞可导致任意代码执行。（CVE-2014-0060、CVE-2014-0061、CVE-2014-0062、CVE-2014-0063、CVE-2014-0064、CVE-2014-0065、CVE-2014-0066）

- 当解密使用密码分组链接 (CBC) 模式下分组加密方式加密的信息，存在关于 SSL 3.0 处理填充字节方式的错误。如果中间人攻击者能够强制受害的应用程序通过新创建的 SSL 3.0 连接不断地发送同样的数据，就能将选中的加密文本字节在 256 次内解密。这也称为“POODLE”问题。(CVE-2014-3566)

- 由于将输入返回给用户前未正确对其进行验证，在 Xcode Server 中存在一个跨站脚本缺陷。这可允许远程攻击者使用特别构建的请求在浏览器/服务器信任关系内执行代码。(CVE-2014-4406)

- 由于在 SQL 查询中使用用户输入前未对其正确审查，在 Wiki 服务器中存在一个 SQL 注入缺陷。这可允许远程攻击者使用特别构建的请求注入或操纵 SQL 查询，从而允许操纵或泄露任意数据。(CVE-2014-4424)

- 由于重启服务前 SCAL 更改一直缓存而未执行，在 Mail Server 中存在一个限制绕过缺陷。这可允许经认证的远程攻击者绕过这些限制。
(CVE-2014-4446)

- 由于编辑或设置配置文件时可能将密码保存到一个文件，因此在 Profile Manager 中存在密码泄露缺陷。这可能允许本地攻击者获取密码信息的访问权限。
(CVE-2014-4447)