Vulnerability Bulletins |
Actualización de seguridad OS X Server v2.2.1 |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software | Versiones anteriores a OS X Server v2.2.1 |
Description |
|
|
Apple ha publicado la disponibilidad de OS X Server v2.2.1 que corrige tres vulnerabilidades. Las dos primeras vulnerabilidades permiten a un atacante remoto ejecutar código arbitrario. Esto se debe a un problema de casting de tipos en parámetros XML de Ruby on Rails. Ambas vulnerabilidades se mitigaban mediante la inhabilitación de lso parámetros XML en la implementación de Rails usada por el Profile Manager, y por el Wiki Server respectivamente. La otra vulnerabilidad permite a un atacante remoto ejecutar código arbitrario, pero el problema de casting de tipos se encuentra en la información JSON. Esto se mitigaba previamente usando JSONGem para el parseo de JSON. |
|
Solution |
|
|
Apple recomienda actualizar las plataformas afectadas. http://support.apple.com/kb/HT1222 |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2013-0156 CVE-2013-0333 |
| BID | |
Other resources |
|
|
Apple: http://support.apple.com/kb/HT5644 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2013-02-06 |