le 26 mai 2014

De multiples vulnérabilités ont été corrigées dans les produits Apple. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Cette faille est liée à la faille Heartbleed d'OpenSSL. Il est recommandé de mettre à jour les logiciels concernés puis de créer de nouveaux certificats utilisant de nouvelles clés privées, puis de révoquer les anciens certificats.

Risque(s)

• exécution de code arbitraire à distance
• déni de service à distance
• contournement de la politique de sécurité
• atteinte à l'intégrité des données
• atteinte à la confidentialité des données
• élévation de privilèges

Systèmes affectés

• Apple AirPort Base Station Firmware Update 7.7.3
• Apple TV 6.1.1
• Apple iOS 7.1.1
• Apple OS X Lion versions 10.7.5 et antérieures
• Apple OS X Lion Server versions 10.7.5 et antérieures
• Apple OS X Mountain Lion versions 10.8.5 et antérieures
• Apple OS X Mountain Lion Server versions 10.8.5 et antérieures
• Apple OS X Mavericks versions 10.9.2 et antérieures

Documentation

• Bulletin de sécurité Apple HT6203 du 22 avril 2014 : support.apple.com/kb/HT6203
• Bulletin de sécurité Apple HT6209 du 22 avril 2014 : support.apple.com/kb/HT6209
• Bulletin de sécurité Apple HT6208 du 22 avril 2014 : support.apple.com/kb/HT6208
• Bulletin de sécurité Apple HT6207 du 22 avril 2014 : support.apple.com/kb/HT6207
• Référence CVE CVE-2013-4164 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-5170 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-6393 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1295 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1296 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1314 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1315 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1316 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1318 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1319 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1320 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1321 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1322 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-2871 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1298 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1299 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1300 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1302 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1303 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1304 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1305 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1307 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1309 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1310 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1311 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1312 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1313 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1713 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-1308 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2014-0160 : cve.mitre.org/cgi-bin/cvename.cgi
• Bulletin de sécurité du CERT-FR : cert.ssi.gouv.fr/site/CERTFR-2014-AVI-201

<- retour vers Bulletins de sécurité