Apple Remote Desktop < 3.5.4 / 3.7 の複数の脆弱性(Mac OS X)
high Nessus プラグイン ID 70609
Language:
概要
Mac OS X ホストには、複数の脆弱性の影響を受ける可能性のあるリモート管理アプリケーションがあります。説明
バージョンによると、リモートホストにインストールされている Apple Remote Desktop のバージョンは 3.5.4 / 3.7 より前です。このため、以下の脆弱性の影響を受ける可能性があります:- Remote Desktop の VNC ユーザー名の処理に、書式文字列の脆弱性が存在しています。(CVE-2013-5135)
- サードパーティ VNC サーバーが特定の認証タイプをサポートしている場合、接続が暗号化されるという警告なしで、Remote Desktop が、パスワード認証を使用する可能性があるため、情報漏洩の脆弱性が存在しています。注意:これは、バージョン 3.5.x 以前のインストールには影響を与えません。(CVE_2013-5136)
- 全画面機能の欠陥により、認証バイパスの脆弱性が存在しています。これは、リモート接続が行われている際に、スリープモードから復帰するときのダイアログボックスに入力されているテキストを処理する際に発生します。ローカルの攻撃者がこれを悪用して、意図されたアクセス制限をバイパスする可能性があります。(CVE-2013-5229)
ソリューション
Apple Remote Desktop 3.5.4 / 3.7 またはそれ以降にアップグレードしてください。参考資料
http://support.apple.com/kb/HT5997
http://support.apple.com/kb/HT5998
http://lists.apple.com/archives/security-announce/2013/Oct/msg00007.html
http://lists.apple.com/archives/security-announce/2013/Oct/msg00008.html
プラグインの詳細
深刻度: High
ID: 70609
ファイル名: macosx_remote_desktop_3_7.nasl
バージョン: 1.11
タイプ: local
エージェント: macosx
公開日: 2013/10/25
更新日: 2023/11/27
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2013-5135
脆弱性情報
CPE: cpe:/a:apple:apple_remote_desktop
必要な KB アイテム: Host/local_checks_enabled, Host/MacOSX/Version
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/10/22
脆弱性公開日: 2013/10/22
参照情報
CVE: CVE-2013-5135, CVE-2013-5136, CVE-2013-5229
APPLE-SA: APPLE-SA-2013-10-22-6, APPLE-SA-2013-10-22-7