Apple Xcode < 7.0 (Mac OS X) (POODLE)

high Nessus 插件 ID 86245

语言：

简介

远程 Mac OS X 主机安装有受到多种漏洞影响的应用程序。

描述

远程 Mac OS X 主机上安装的 Apple Xcode 版本低于 7.0。因此，它受到以下多种漏洞的影响：

- 文件 d1_srtp.c 中存在关于 DTLS SRTP 扩展处理和特别构建的握手消息的内存泄漏问题。攻击者可利用此问题造成拒绝服务。(CVE-2014-3513)

- 对使用密码分组链接 (CBC) 模式下的分组密码进行加密的消息进行解密时，在 SSL 3.0 处理填充字节的方式中导致中间人 (MitM) 信息泄露漏洞（即 POODLE）。如果 MitM 攻击者能够强制受害的应用程序通过新创建的 SSL 3.0 连接不断发送同样的数据，就能将选中的加密文本字节在 256 次内解密。
(CVE-2014-3566)

- 文件 t1_lib.c 中存在关于会话票证处理的内存泄漏问题。攻击者可利用此问题造成拒绝服务。(CVE-2014-3567)

- 存在关于生成配置进程和“no-ssl3”构建选项的错误可能导致服务器和客户端处理不安全的 SSL 3.0 握手信息。(CVE-2014-3568)

- 由于未正确审查用户提供的输入，send.js 中存在一个目录遍历漏洞。
未经认证的远程攻击者可利用此漏洞，通过特别构建的请求访问限制路径外的任意文件。(CVE-2014-6394)

- Apache Subversion 的 mod_dav_svn 和 svnserve 服务器中存在一个拒绝服务漏洞。未经认证的远程攻击者可利用此漏洞，通过构建的参数组合造成当前进程因断言失败而中止。
(CVE-2015-0248)

- Apache Subversion 的 mod_dav_svn 服务器中存在一个缺陷。经过认证的远程攻击者可利用此缺陷，通过构建的 HTTP 请求序列欺骗“svn:author”属性值。(CVE-2015-0251)

- Apache HTTP Server 中存在一个缺陷，原因是文件 request.c 中的 ap_some_auth_required() 函数未正确处理 Require 指令关联。未经认证的远程攻击者可利用此缺陷，通过使用依赖于 2.2 API 行为的模块绕过访问限制。(CVE-2015-3185)

- IDE Xcode 服务器中存在一个缺陷，原因是未正确限制对存储库电子邮件列表的访问。未经认证的远程攻击者可利用此缺陷，通过使用不正确的通知交付访问敏感的版本信息。(CVE-2015-5909)

- IDE Xcode 服务器中存在一个缺陷，原因是以明文传输服务器信息。远程中间人攻击者可利用此缺陷访问敏感信息。(CVE-2015-5910)