Mac OS X < 10.10 の複数の脆弱性(POODLE)(Shellshock)

critical Nessus プラグイン ID 78550
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートホストに、複数の脆弱性を修正する Mac OS X の更新がありません。

説明

リモートホストで実行されている Mac OS X のバージョンが 10.10 より前です。この更新には、次のコンポーネントの、セキュリティに関連するいくつかの修正が含まれています:

- 802.1X
- AFP File Server
- apache
- App Sandbox
- Bash
- Bluetooth
- Certificate Trust Policy
- CFPreferences
- CoreStorage
- CUPS
- Dock
- fdesetup
- iCloud Find My Mac
- IOAcceleratorFamily
- IOHIDFamily
- IOKit
- Kernel
- LaunchServices
- LoginWindow
- Mail
- MCX Desktop Config Profiles
- NetFS Client Framework
- QuickTime
- Safari
- Secure Transport
- Security
- Security - Code Signing

注意:最も深刻な問題の悪用が成功すると、任意のコード実行が発生する可能性があります。

ソリューション

Mac OS X バージョン 10.10 またはそれ以降にアップグレードしてください。

関連情報

https://support.apple.com/kb/HT6535

http://www.securityfocus.com/archive/1/533720/30/0/threaded

http://seclists.org/oss-sec/2014/q3/650

https://www.invisiblethreat.ca/post/shellshock/

http://www.nessus.org/u?e40f2f5a

https://www.imperialviolet.org/2014/10/14/poodle.html

https://www.openssl.org/~bodo/ssl-poodle.pdf

https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00

http://www.nessus.org/u?c1fbcc64

プラグインの詳細

深刻度: Critical

ID: 78550

ファイル名: macosx_10_10.nasl

バージョン: 1.27

タイプ: combined

エージェント: macosx

公開日: 2014/10/17

更新日: 2018/7/14

依存関係: ssh_get_info.nasl, os_fingerprint.nasl

リスク情報

VPR

リスクファクター: Critical

スコア: 9.9

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 8.7

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:H/RL:OF/RC:C

脆弱性情報

CPE: cpe:/o:apple:mac_os_x

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/10/16

脆弱性公開日: 2013/9/19

エクスプロイト可能

CANVAS (CANVAS)

Core Impact

Metasploit (Apache mod_cgi Bash Environment Variable Code Injection (Shellshock))

参照情報

CVE: CVE-2011-2391, CVE-2013-5150, CVE-2013-6438, CVE-2014-0098, CVE-2014-3537, CVE-2014-3566, CVE-2014-4351, CVE-2014-4364, CVE-2014-4371, CVE-2014-4373, CVE-2014-4375, CVE-2014-4380, CVE-2014-4388, CVE-2014-4391, CVE-2014-4404, CVE-2014-4405, CVE-2014-4407, CVE-2014-4408, CVE-2014-4417, CVE-2014-4418, CVE-2014-4419, CVE-2014-4420, CVE-2014-4421, CVE-2014-4422, CVE-2014-4425, CVE-2014-4426, CVE-2014-4427, CVE-2014-4428, CVE-2014-4430, CVE-2014-4431, CVE-2014-4432, CVE-2014-4433, CVE-2014-4434, CVE-2014-4435, CVE-2014-4436, CVE-2014-4437, CVE-2014-4438, CVE-2014-4439, CVE-2014-4440, CVE-2014-4441, CVE-2014-4442, CVE-2014-4443, CVE-2014-4444, CVE-2014-6271, CVE-2014-7169

BID: 62531, 62573, 66303, 68788, 69911, 69912, 69913, 69919, 69924, 69927, 69928, 69934, 69938, 69939, 69942, 69944, 69946, 69947, 69948, 70103, 70137, 70574, 70616, 70618, 70619, 70620, 70622, 70623, 70624, 70625, 70627, 70628, 70629, 70630, 70631, 70632, 70633, 70635, 70636, 70637, 70638, 70640, 70643, 70894

APPLE-SA: APPLE-SA-2014-10-16-1

IAVA: 2014-A-0142

CERT: 252743, 577193

EDB-ID: 35153, 34765, 34766, 34777