DFN-CERT-2016-0489 Apple Mac OS X Server: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Apple]

DFN-CERT-2016-0489 Apple Mac OS X Server: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Apple]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apple Mac OS X Server <= 5.0.15 Betroffene Plattformen: Apple Mac OS X >= 10.10.5

Mehrere Schwachstellen in Apple OS X Server ermöglichen einem entfernten,
zumeist nicht authentifizierten Angreifer das Umgehen von
Sicherheitsvorkehrungen und das Ausspähen von Informationen. Betroffen sind
der Time Machine Server zur Verarbeitung von Backups, der Wiki Server und
der Web Server.

Apple stellt zur Behebung der Schwachstellen die Programmversion Apple OS X
Server 5.1 bereit. Eine der Schwachstellen wird dadurch behoben, dass das
verbotene Verschlüsselungsverfahren RC4 nicht mehr unterstützt wird.
Administratoren sollten diese Information für ihre Anwendungen
berücksichtigen.

Patch:

Apple Security Advisory Apple-ADV-HT206173 (OS X Server 5.1)

https://support.apple.com/kb/HT206173

CVE-2016-1787: Schwachstelle in Apple Wiki Server ermöglicht Ausspähen von
Informationen

Eine Schwachstelle im Kontext des Wiki-Servers ermöglicht einem entfernten,
einfach authentifizierten Angreifer das Ausspähen von Informationen über
andere Wiki-Benutzer.

CVE-2016-1777: Schwachstelle in Apple Web Server ermöglicht Umgehen von
Sicherheitsvorkehrungen

Der Web Server in Apple OS X Server vor Version 5.1 verwendet optional den
mittlerweile aufgrund von Sicherheitsmängeln im Rahmen von TLS verbotenen
Stromverschlüsselungscode RC4. Ein entfernter, nicht authentifizierter
Angreifer kann Sicherheitsvorkehrungen umgehen, wenn RC4 aktiviert ist.

CVE-2016-1776: Schwachstelle in Apple Web Server ermöglicht Ausspähen von
Informationen

Durch fehlerhafte Zugriffsbeschränkungen im Apache Web Server im
Zusammenhang mit den Dateien ‘.DS_Store’ und ‘.htaccess’ kann ein
entfernter, nicht authentifizierter Angreifer sensitive
Konfigurationsinformationen ausspähen und darüber hinaus möglicherweise
weitere Angriffe durchführen.

CVE-2016-1774: Schwachstelle in Apple Time Machine Server ermöglicht Umgehen
von Sicherheitsvorkehrungen

Bei der Durchführung eines Server-Backups werden Berechtigungen ignoriert,
ohne den ausführenden Administrator hinreichend darauf hinzuweisen. Ein
entfernter, nicht authentifizierter Angreifer erhält möglicherweise Zugriff
auf Backup-Daten, der ihm üblicherweise verwehrt ist und kann dadurch
Sicherheitsvorkehrungen umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0489/

Apple Security Advisory Apple-ADV-HT206173 (OS X Server 5.1):
https://support.apple.com/kb/HT206173

Schwachstelle CVE-2016-1774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1774

Schwachstelle CVE-2016-1776 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1776

Schwachstelle CVE-2016-1777 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1777

Schwachstelle CVE-2016-1787 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1787

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben