macOS 10.15.x < 10.15.6 / 10.14.x < 10.14.6 安全更新 2020-004 / 10.13.x < 10.13.6 安全更新 2020-004
critical Nessus 插件 ID 141100
语言:
简介
远程主机缺少 macOS 安全更新描述
远程主机上正在运行的 macOS / Mac OS X 版本为低于 10.13.6 Security Update 2020-004 的 10.13.x、低于 10.14.6 Security Update 2020-004 的 10.14.x,或低于 10.15.6 的 10.15.x。因此,该应用程序受到多个漏洞的影响,具体如下:- 在 Linux、FreeBSD、OpenBSD、MacOS、iOS 和 Android 中发现了一个漏洞,该漏洞可允许恶意接入点或邻近用户判断连接的用户是否在使用 VPN,对他们正在访问的网站进行正推断,以及确定所使用的正确序列和确认编号,从而允许危险分子将数据注入 TCP 流。这为攻击者提供了劫持 VPN 隧道内活动连接所需的所有资源。(CVE-2019-14899)
- cyrus-sasl(也称为 Cyrus SASL)2.1.27 存在越界写入,可通过畸形 LDAP 数据包造成 OpenLDAP 中未经身份验证的远程拒绝服务。cyrus-sasl 内 common.c 的 _sasl_add_string 中的差一错误最终会导致 OpenLDAP 崩溃。 (CVE-2019-19906)
- 在 8.1.0881 之前版本的 Vim 中,用户可避开 rvim 受限模式并通过脚本接口(如 Python、Ruby 或 Lua)执行任意 OS 命令。(CVE-2019-20807)
rsync 3.1.1 允许远程攻击者通过对同步路径中的文件发动符号链接攻击,写入任意文件。(CVE-2014-9512)
请注意,Nessus 并未测试此问题,而是只依靠操作系统自我报告的版本号。
解决方案
升级到 macos 10.13.6 安全更新 2020-004 / 10.14.6 安全更新 2020-004 / 10.15.6 或更高版本另见
插件详情
严重性: Critical
ID: 141100
文件名: macos_HT211289.nasl
版本: 1.10
类型: local
代理: macosx
发布时间: 2020/10/1
最近更新时间: 2022/11/21
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2020-9918
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 9.4
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:H/RL:O/RC:C
漏洞信息
CPE: cpe:/o:apple:mac_os_x, cpe:/o:apple:macos
可利用: true
易利用性: Exploits are available
补丁发布日期: 2020/7/10
漏洞发布日期: 2019/12/11
CISA 已知可遭利用的漏洞到期日期: 2022/9/29
参考资料信息
CVE: CVE-2014-9512, CVE-2019-14899, CVE-2019-19906, CVE-2019-20807, CVE-2020-11758, CVE-2020-11759, CVE-2020-11760, CVE-2020-11761, CVE-2020-11762, CVE-2020-11763, CVE-2020-11764, CVE-2020-11765, CVE-2020-12243, CVE-2020-9799, CVE-2020-9854, CVE-2020-9863, CVE-2020-9864, CVE-2020-9865, CVE-2020-9866, CVE-2020-9868, CVE-2020-9869, CVE-2020-9870, CVE-2020-9871, CVE-2020-9872, CVE-2020-9873, CVE-2020-9874, CVE-2020-9875, CVE-2020-9876, CVE-2020-9877, CVE-2020-9878, CVE-2020-9879, CVE-2020-9880, CVE-2020-9881, CVE-2020-9882, CVE-2020-9883, CVE-2020-9884, CVE-2020-9885, CVE-2020-9887, CVE-2020-9888, CVE-2020-9889, CVE-2020-9890, CVE-2020-9891, CVE-2020-9892, CVE-2020-9898, CVE-2020-9899, CVE-2020-9900, CVE-2020-9901, CVE-2020-9902, CVE-2020-9904, CVE-2020-9905, CVE-2020-9906, CVE-2020-9908, CVE-2020-9913, CVE-2020-9918, CVE-2020-9919, CVE-2020-9920, CVE-2020-9921, CVE-2020-9924, CVE-2020-9927, CVE-2020-9928, CVE-2020-9929, CVE-2020-9934, CVE-2020-9935, CVE-2020-9936, CVE-2020-9937, CVE-2020-9938, CVE-2020-9939, CVE-2020-9940, CVE-2020-9980, CVE-2020-9984, CVE-2020-9985, CVE-2020-9990, CVE-2020-9994, CVE-2020-9997
APPLE-SA: APPLE-SA-2020-07-15, HT211289
IAVA: 2020-A-0539-S
IAVB: 2020-B-0053-S