検出

7.3 より前の Apple Xcode の複数の脆弱性(Mac OS X)

medium Nessus プラグイン ID 90148

Language:

概要

リモート Mac OS X ホストにインストールされているアプリケーションは、複数の脆弱性による影響を受けます。

説明

リモートのMac OS XホストにインストールされているApple Xcodeのバージョンは、7.3より前です。したがって、以下の複数の脆弱性による影響を受けます:

 - 匿名のアクセスを適切に制限できないため、mod_authz_svn の Apache Subversion に欠陥が存在します。認証されていないリモートの攻撃者が、細工されたパス名を通じて、これを悪用し、非表示のファイルを読み取る可能性があります。(CVE-2015-3184)

 - svn_repos_trace_node_locations() 関数の Apache Subversion に欠陥が存在します。これにより、ノードの履歴に従っているときに読み取り不可能なパスにぶつかると、最初の読み取り可能なパスが返されます。認証されていないリモートの攻撃者が、これを悪用して、本来なら非表示であるべきパスにアクセスする可能性があります。
 (CVE-2015-3187)

 - ユーザー指定の入力が不適切に検証されるため、複数の詳細不明なメモリ破損の問題が otool に存在しています。ローカルの攻撃者はこれを悪用して、サービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。
 (CVE-2016-1765)

ソリューション

Apple Xcodeをバージョン7.3以降にアップグレードしてください。

参考資料

https://support.apple.com/en-ca/HT206172

http://www.nessus.org/u?2a264ce9

プラグインの詳細

深刻度: Medium

ID: 90148

ファイル名: macosx_xcode_7_3.nasl

バージョン: 1.6

タイプ: local

エージェント: macosx

公開日: 2016/3/24

更新日: 2020/5/5

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2015-3184

CVSS v3

リスクファクター: Medium

基本値: 5.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

脆弱性情報

CPE: cpe:/a:apple:xcode

必要な KB アイテム: Host/local_checks_enabled, Host/MacOSX/Version, installed_sw/Apple Xcode

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/3/21

脆弱性公開日: 2015/8/5

参照情報

CVE: CVE-2015-3184, CVE-2015-3187, CVE-2016-1765

BID: 76273, 76274

APPLE-SA: APPLE-SA-2016-03-21-4