Google Chrome 安全性團隊發現 International Components for Unicode (ICU) 程式庫中有兩個問題 (一個爭用情形和一個釋放後使用問題)。

據發現，roundcube (一款適用於 IMAP 伺服器的可換面板 AJAX 型 Webmail 解決方案) 在儲存喜好設定期間，未正確清理 steps/utils/save_pref.inc 中的 _session 參數。此弱點可遭到惡意利用，來覆寫組態設定，且後續可允許隨機檔案存取、操控 SQL 查詢，甚至程式碼執行。

舊的穩定發行版本 (squeeze) 中的 roundcube 不會受此問題影響。

在 chromium 網頁瀏覽器中發現數個弱點。

- CVE-2013-2906 OUSPG 的 Atte Kettunen 發現 Web Audio 中有多個爭用情形。

- CVE-2013-2907 Boris Zbarsky 發現 window.prototype 中有一個超出邊界讀取問題。

- CVE-2013-2908 Chamal de Silva 發現一個位址列偽造問題。

- CVE-2013-2909 OUSPG 的 Atte Kuttenen 發現內嵌區塊中有一個釋放後使用問題。

- CVE-2013-2910 Georgia Tech Information Security Center 的 Byoungyoung Lee 發現 Web Audio 中有一個釋放後使用問題。

- CVE-2013-2911 OUSPG 的 Atte Kettunen 發現，Blink 處理 XSLT 時有一個釋放後使用問題。

- CVE-2013-2912 Chamal de Silva 和 41.w4r10r(at)garage4hackers.com 發現，Pepper 外掛程式 API 中有一個釋放後使用問題。

- CVE-2013-2913 cloudfuzzer 發現，Blink 剖析 XML 文件時有一個釋放後使用問題。

- CVE-2013-2915 Wander Groeneveld 發現一個位址列偽造問題。

- CVE-2013-2916 Masato Kinugawa 發現一個位址列偽造問題。

- CVE-2013-2917 Byoungyoung Lee 和 Tielei Wang 發現 Web Audio 中有一個超出邊界讀取問題。

- CVE-2013-2918 Byoungyoung Lee 發現 Blink 的 DOM 實作中有一個超出邊界讀取問題。

- CVE-2013-2919 Concrete Data 的 Adam Haile 發現，V8 JavaScript 程式庫中有一個記憶體損毀問題。

- CVE-2013-2920 OUSPG 的 Atte Kuttunen 發現，解析 URL 主機時有一個超出邊界讀取問題。

- CVE-2013-2921 Byoungyoung Lee 和 Tielei Wang 發現，資源載入時有一個釋放後使用問題。

- CVE-2013-2922 Jon Butler 發現，Blink 的 HTML 範本元素實作中有一個釋放後使用問題。

- CVE-2013-2924 在 International Components for Unicode (ICU) 程式庫中發現一個釋放後使用問題。

- CVE-2013-2925 OUSPG 的 Atte Kettunen 發現，Blink 的 XML HTTP 要求實作中有一個釋放後使用問題。

- CVE-2013-2926 cloudfuzzer 發現清單縮排實作中有一個釋放後使用問題。

- CVE-2013-2927 cloudfuzzer 發現 HTML 表單提交實作中有一個釋放後使用問題。

- CVE-2013-2923 和 CVE-2013-2928 chrome 30 開發團隊發現內部模糊測試、稽核和其他研究中有多種問題。

Pedro Ribeiro 發現在 Xorg Xserver 中處理 ImageText 要求時有一個釋放後使用情形，可能造成拒絕服務或權限提升。

在Several vulnerabilities were discovered in Rack 中發現數個弱點，這是一個模組化 Ruby webserver 介面。Common Vulnerabilites and Exposures 專案發現下列弱點：

- CVE-2011-5036 Rack 在未限制預先觸發雜湊衝突能力的情況下，計算了表單參數的雜湊值，其可允許遠端攻擊者傳送多個特製參數，從而造成拒絕服務 (CPU 消耗)。

- CVE-2013-0183 遠端攻擊者可透過 Multipart HTTP 封包中的長字串造成拒絕服務 (記憶體消耗與記憶體不足錯誤)。

- CVE-2013-0184 Rack::Auth::AbstractRequest 中的一個弱點允許遠端攻擊者透過不明方式造成拒絕服務。

- CVE-2013-0263 Rack::Session::Cookie 允許遠端攻擊者透過牽涉到未在常數時間中執行之 HMAC 比較函式的定時攻擊，猜測工作階段 cookie、取得權限，以及執行任意程式碼。

在輕量型 crypto PolarSSL 和 SSL/TLS 程式庫中發現多個安全性問題：

- CVE-2013-4623 Jack Lloyd 發現，在剖析 PEM 編碼憑證時有一個拒絕服務弱點。

- CVE-2013-5914 Paul Brodeur 和 TrustInSoft 在 ssl_read_record() 函式中發現一個緩衝區溢位，可能允許執行任意程式碼。

- CVE-2013-5915 Cyril Arnaud 和 Pierre-Alain Fouque 發現對 RSA 實作的定時攻擊。

在 python-crypto 的虛擬亂數產生器中發現一個密碼編譯弱點。

在某些情況下，從相同父項分支出多個處理程序時，爭用情形可阻止產生器重新植入。
這會導致其在所有處理程序上產生相同的輸出，可能進而洩漏密碼編譯金鑰等敏感值。

此 DSA 會將 MySQL 資料庫更新至 5.1.72。這可修正 Optimizer 元件中的多個不明安全性問題：
http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html

OUSPG 的 Aki Helin 發現，GNOME 專案的 XML 剖析器程式庫「libxml2」中，存有許多超出邊界讀取問題，其可導致處理突然中止的 XML 文件時發生拒絕服務問題。

Robert Matthews 發現，Apache FCGID 模組 (Apache HTTP Server 的 FastCGI 實作) 無法對使用者提供的輸入執行充分的邊界檢查。這可能允許遠端攻擊者造成堆積型緩衝區溢位，進而導致拒絕服務，或可能允許執行任意程式碼。

Sebastian Krahmer 和 Florian Weimer 發現 systemd 中有多個安全性問題：與 DBUS 不安全的互動可導致繞過 Policykit 限制，還有透過 journald 中的一個整數溢位造成權限提升或拒絕服務，以及處理 X 鍵盤延伸模組 (XKB) 檔案時缺少輸入清理。

已修正 Drupal 內容管理框架中的多個弱點，這些弱點會導致資訊洩漏、驗證不足、跨網站指令碼和跨網站要求偽造。

據發現，ejabberd (Jabber/XMPP 伺服器) 通訊時使用 SSLv2 和弱式密碼，這些都是不安全的使用情況。軟體並未提供任何可予以停用的運行時間組態選項。
此更新停用了 SSLv2 和弱式密碼。

Debian 7 的更新版套件 (wheezy) 也納入了輔助錯誤修正，其原本預定在下一個穩定的點版本中發佈。

在 GnuPG 2 (GNU Privacy Guard，免費的 PGP 替代版本) 中發現兩個弱點。Common Vulnerabilities and Exposures 專案發現下列問題：

- CVE-2013-4351 金鑰或子機碼將「金鑰旗標」子封包設為關閉所有位元時，GnuPG 目前會將該金鑰視為已設定所有位元。換言之，當擁有者想要指定「不允許任何使用」時，GnuPG 會將其解譯為「允許所有使用」。這種「不允許任何使用」金鑰很少使用，且只有在極為特殊的情況下才會使用。

- CVE-2013-4402 可利用特製的輸入資料，造成壓縮封包剖析器進入無限遞迴，而這可能會進而引發拒絕服務。

在 GnuPG (GNU Privacy Guard，免費的 PGP 取代) 中發現兩個弱點。Common Vulnerabilities and Exposures 專案發現下列問題：

- CVE-2013-4351 金鑰或子機碼將「金鑰旗標」子封包設為關閉所有位元時，GnuPG 目前會將該金鑰視為已設定所有位元。換言之，當擁有者想要指定「不允許任何使用」時，GnuPG 會將其解譯為「允許所有使用」。這種「不允許任何使用」金鑰很少使用，且只有在極為特殊的情況下才會使用。

- CVE-2013-4402 可利用特製的輸入資料，造成壓縮封包剖析器進入無限遞迴，而這可能會進而引發拒絕服務。

Markus Pieton 和 Vytautas Paulikas 發現，TYPO3 web 內容管理系統中的內嵌視訊和音訊播放器容易遭受跨網站指令碼攻擊。

Hamid Zamani 發現多個安全性問題 (緩衝區溢位、格式字串弱點和缺少輸入清理)，這些可能導致任意程式碼執行。

MWR InfoSecurity 的 John Fitzpatrick 在 torque (一種 PBS 衍生的批次處理佇列系統) 中發現一個驗證繞過弱點。

torque 驗證模型與使用有權限的連接埠密切相關。如果要求不是從有權限的連接埠發出，則系統會假設其未受信任或未經驗證。據發現，pbs_mom 未執行檢查以確認連線是從有權限的連接埠建立。

若使用者能執行工作或是登入至使用 pbs_server 或 pbs_mom 的節點，就可惡意利用此弱點，直接提交命令至 pbs_mom 程序，進而將工作排入佇列和加以執行，藉此以 root 身分從遠端在叢集上執行程式碼。

在 FreeBSD 核心中發現數個弱點，可能導致拒絕服務或權限提升。Common Vulnerabilities and Exposures 專案發現下列問題：

- CVE-2013-5691 Loganaden Velvindron 和 Gleb Smirnoff 發現，SIOCSIFADDR、SIOCSIFBRDADDR、SIOCSIFDSTADDR 和 SIOCSIFNETMASK ioctl 要求未執行輸入驗證或驗證呼叫者的認證。
 能夠執行任意程式碼之無權限的使用者，可造成系統中的任何網路介面透過傳遞特製的位址結構 (進而造成網路介面驅動程式解除參照無效指標)，執行與上述 ioctl 要求相關的連結層動作或觸發核心錯誤。

- CVE-2013-5710 Konstantin Belousov 發現，VOP_LINK(9) VFS 作業的 nullfs(5) 實作未檢查連結的來源和目標是否在相同 nullfs 執行個體中。只要基礎 (來源) 檔案系統相同，就可從一個 nullfs 執行個體中的位置建立 hardlink 至另一個 nullfs 執行個體中的檔案。如果相同檔案系統中的多個 nullfs 檢視掛載於不同位置，使用者可能會取得名義上位於唯讀檔案系統上之檔案的寫入存取權。

在 icedtea-web (一種網頁瀏覽器外掛程式，用於執行以 Java 程式設計語言撰寫的 applet) 上發現一個堆積型緩衝區溢位弱點。如果使用者遭誘騙而開啟惡意網站，攻擊者便可造成外掛程式損毀，或可能以叫用程式的使用者身分執行任意程式碼。

此問題一開始是由 Arthur Gerkis 發現，並指派為 CVE-2012-4540。在 1.1、1.2 和 1.3 分支 (但不到 1.4 分支) 中套用的修正。

Kingcope 發現，proftpd (功能強大的模組化 FTP/SFTP/FTPS 伺服器) 的 mod_sftp 和 mod_sftp_pam 模組在進行集區配置之前，並未正確驗證輸入。攻擊者可利用此瑕疵，對執行 proftpd 的系統發動拒絕服務攻擊 (資源耗盡)。

在 Linux 核心中發現數個弱點，可能會導致拒絕服務、資訊洩漏或權限提升。Common Vulnerabilities and Exposures 專案發現下列問題：

- CVE-2013-2141 Emese Revfy 針對 tkill 和 tgkill 系統呼叫中的資訊洩漏提供修正。64 位元系統上的本機使用者可取得敏感記憶體內容的存取權。

- CVE-2013-2164 Jonathan Salwan 報告 CD-ROM 驅動程式中有一個資訊洩漏瑕疵。如果系統內有運作失常的 CD-ROM 磁碟機，則該系統上的本機使用者可取得敏感記憶體的存取權。

- CVE-2013-2206 Karl Heiss 報告 Linux SCTP 實作中存在一個問題。遠端使用者可造成拒絕服務 (系統當機)。

- CVE-2013-2232 Dave Jones 和 Hannes Frederic Sowa 已解決 IPv6 子系統中的一個問題。本機使用者可使用 AF_INET6 通訊端連線至 IPv4 目的地，從而引發拒絕服務。

- CVE-2013-2234 Mathias Krause 報告，在 PF_KEYv2 通訊端實作中有一個記憶體洩漏瑕疵。本機使用者可取得敏感核心記憶體的存取權。

- CVE-2013-2237 Nicolas Dichtel 報告，在 PF_KEYv2 通訊端實作中有一個記憶體洩漏瑕疵。本機使用者可取得敏感核心記憶體的存取權。

- CVE-2013-2239 Jonathan Salwan 在 openvz 核心類別中發現多個記憶體洩漏。本機使用者可取得敏感核心記憶體的存取權。

- CVE-2013-2851 Kees Cook 報告封鎖子系統中的問題。
 具有 uid 0 的本機使用者可取得提升的第 0 級權限。這是某些經過特別設定的系統才會出現的安全性問題。

- CVE-2013-2852 Kees Cook 報告，特定 Broadcom 無線裝置的 b43 網路驅動程式中有一個問題。具有 uid 0 的本機使用者可取得提升的第 0 級權限。這是某些經過特別設定的系統才會出現的安全性問題。

- CVE-2013-2888 Kees Cook 報告 HID 驅動程式子系統中存在一個問題。
 能夠附加裝置的本機使用者可造成拒絕服務 (系統當機)。

- CVE-2013-2892 Kees Cook 報告 pantherlord HID 裝置驅動程式中存在一個問題。能夠附加裝置的本機使用者可造成拒絕服務或可能取得提升的權限。

Davfs2 (WebDAV 的檔案系統用戶端) 在做為 setuid root 時，呼叫 system() 函式的過程並不安全。這可允許權限提升。

Daniel P. Berrange 發現，remoteDispatchDomainMemoryStats() 函式中不正確的記憶體處理可導致拒絕服務。

舊的穩定發行版本 (squeeze) 不會受到影響。

據發現，OpenSSL 程式庫的 Python 包裝函式「PyOpenSSL」未正確處理主體別名欄位中 NULL 字元的憑證問題。

有權從 SSL 用戶端信任的 CA 取得「www.foo.org\0.example.com」憑證的遠端攻擊者，可利用此問題偽造「www.foo.org」，並在使用 PyOpenSSL 的用戶端和 SSL 伺服器之間發動攔截式攻擊。

在 Icedove (Mozilla Thunderbird 郵件和新聞用戶端的 Debian 版本) 中發現多個安全性問題。多個記憶體安全性錯誤和緩衝區溢位可能導致任意程式碼執行。

完整安全性更新不再支援舊的穩定發行版本 (squeeze) 中的 Icedove 版本。不過請注意，Icedove stem 中的所有安全性問題都是隨附瀏覽器引擎所造成的。如果已啟用指令碼和 HTML 郵件，則這些安全性問題將僅影響 Icedove。若存有和 Icedove 相關的安全性問題 (例如：IMAP 實作中的假設性緩衝區溢位)，我們會致力於將這些修正項目反向移植至舊的穩定發行版本。

在 puppet (一種集中式組態管理系統) 中發現數個弱點。Common Vulnerabilities and Exposures 專案發現下列問題：

- CVE-2013-4761「resource_type」service (預設為停用) 可用來使 puppet 從 puppet 主機的檔案系統載入任意 Ruby 程式碼。

- CVE-2013-4956 與 Puppet Module Tool 一同安裝的模組可能設有弱式權限，因而可能允許本機使用者加以讀取或修改。

穩定的發行版本 (wheezy) 已更新至 puppet 2.7.33 版。此版本在 wheezy 中包含所有與 puppet 相關的先前 DSA 的修補程式。在此版本中，puppet 報告格式現會正確報告為第 3 版。

預計 puppet 未來的 DSA 會更新至較新且僅有錯誤修正的 2.7 分支版本。

舊的穩定發行版本 (squeeze) 並未針對此公告更新：截至此時，CVE-2013-4761 尚無修正，且該套件並未受到 CVE-2013-4956 影響。

Florian Weimer 發現 Chrony 時間同步軟體中有兩個安全性問題 (緩衝區溢位和在命令回覆中使用未初始化資料)。

在 Iceweasel (Mozilla Firefox 網頁瀏覽器的 Debian 版本) 中發現多個安全性問題：多個記憶體安全錯誤、緩衝區溢位問題可能導致任意程式碼執行。

安全性更新不再支援舊的穩定發行版本 (squeeze) 中的 Iceweasel 版本。

據發現，python-django (高階 Python web 開發架構) 容易透過大型密碼受到一個拒絕服務弱點影響。

未經驗證的遠端攻擊者可藉由提交任意大型密碼來掛載拒絕服務，從而在對應雜湊價格昂貴的計算中連結伺服器資源以驗證密碼。

在 web 部落格工具 Wordpress 中發現數個弱點。由於 CVE 已從版本公告中配置，而且通常不會識別特定的修正，因此已決定將 Wordpress 套件升級至最新的上游版本，而非反向移植修補程式。

這表示在升級時須另外留意，特別是當使用第三方外掛程式或主題時，因為整個過程中的相容性都可能受到影響。我們建議使用者先檢查其安裝，再進行升級。

- CVE-2013-4338 wp-includes/functions.php 中不安全的 PHP 未序列化問題，可造成任意程式碼執行。

- CVE-2013-4339 輸入驗證不充分，其可導致重新導向或將使用者引導至其他網站。

- CVE-2013-4340 權限提升問題允許具備作者角色的使用者建立看似由其他使用者撰寫的項目。

- CVE-2013-5738 上傳 .html/.html 檔案時需要用到的功能項目不足，使經驗證的使用者更容易利用特製的 html 檔案上傳作業，發動跨網站指令碼攻擊 (XSS)。

- CVE-2013-5739 預設的 Wordpress 組態允許上傳 .swf/.exe 檔案，使經驗證的使用者更容易發動跨網站指令碼攻擊 (XSS)。

在 LDAP、RTPS 和 NBAP 的解剖器及 Netmon 檔案剖析器中發現多個弱點，可導致拒絕服務或任意程式碼執行。

據發現，MediaWiki (一種 wiki 引擎) 中的數個 API 模組允許透過 JSONP 存取 anti-CSRF token。這些 token 可防止跨網站要求偽造且為機密性質。

Rainer Koirikivi 發現 python-django (高階 Python Web 開發架構) 中的 'ssi' 範本標籤有一個目錄遊走弱點。

據發現，處理 'ALLOWED_INCLUDE_ROOTS' 設定 (用於呈現允許的 {% ssi %} 範本標籤前置詞) 的過程中容易遭受目錄遊走攻擊，方法為指定以 'ALLOWED_INCLUDE_ROOTS' 中目錄的絕對路徑為開頭的檔案路徑，然後使用相對路徑來破解限制。

若要惡意利用此弱點，攻擊者必須能更改網站上的範本，或是攻擊對象的網站必須有一或多個範本使用 'ssi' 標籤，而且必須允許使用某些類型的未清理使用者輸入作為 'ssi' 標籤的引數。

據發現，exactimage (一種快速影像處理程式庫) 並未正確處理 dcraw 內嵌複製的錯誤情形。這會因為將未初始化的變數傳遞至 longjmp，而在使用該程式庫的應用程式中導致損毀或其他行為。

此問題與 CVE-2013-1438/DSA-2748-1 不同。

Andreas Beckmann 發現，安裝於 Debian 中的 web 論壇「phpBB」針對快取檔案設定了不正確的權限，其允許惡意本機使用者予以覆寫。

在 libmodplug (用於以 ModPlug 為基礎之 mod 音樂的程式庫) 中發現數個弱點，其可能允許在透過使用程式庫的應用程式 (例如 media player) 處理特製 ABC 檔案時，執行任意程式碼。

Anton Kortunov 報告 ImageMagick 中有一個堆積損毀，這是轉換及操控影像檔案的程式集合與程式庫。
特製的 GIF 檔案可造成 ImageMagick 損毀，進而可能導致任意程式碼執行。

舊的穩定發行版本 (squeeze) 不會受此問題影響。

Colin Cuthbertson 和 Walter Doekes 在 Asterisk (一個開放原始碼的 PBX 和電話語音工具組) 的 SIP 處理程式碼中發現兩個弱點，這兩個弱點可導致拒絕服務。

在 dcraw (用於處理來自數位相機的原始格式影像之程式) 程式碼基底中發現數個拒絕服務弱點。此更新可在 exactimage 套件中內嵌的複本中更正這些弱點。

在 Cacti (監控系統的 web 圖形介面) 中發現兩個弱點：

- CVE-2013-5588 install/index.php 和 cacti/host.php 受到跨網站指令碼弱點的影響。

- CVE-2013-5589 cacti/host.php 包含一個 SQL 插入弱點，可允許攻擊者在 Cacti 使用的資料庫上執行 SQL 程式碼。

在 Icedove (Mozilla Thunderbird 郵件和新聞用戶端的 Debian 版本) 中發現多個安全性問題。存在多個記憶體安全錯誤、遺漏權限檢查及其他實作錯誤，可能導致執行任意程式碼或跨網站指令碼。

完整安全性更新不再支援舊的穩定發行版本 (squeeze) 中的 Icedove 版本。不過請注意，Icedove stem 中的所有安全性問題都是隨附瀏覽器引擎所造成的。如果已啟用指令碼和 HTML 郵件，則這些安全性問題將僅影響 Icedove。若存有和 Icedove 相關的安全性問題 (例如：IMAP 實作中的假設性緩衝區溢位)，我們會致力於將這些修正項目反向移植至舊的穩定發行版本。

在 Linux 核心中發現數個弱點，可能會導致拒絕服務、資訊洩漏或權限提升。Common Vulnerabilities and Exposures 專案發現下列問題：

- CVE-2013-1059 Chanam Park 報告，Ceph 分散式儲存系統中有一個問題。遠端使用者可藉由傳送特製的 auth_reply 訊息造成拒絕服務。

- CVE-2013-2148 Dan Carpenter 報告，檔案系統寬存取通知子系統 (fanotify) 中有一個資訊洩漏。本機使用者可取得敏感核心記憶體的存取權。

- CVE-2013-2164 Jonathan Salwan 報告 CD-ROM 驅動程式中有一個資訊洩漏瑕疵。如果系統內有運作失常的 CD-ROM 磁碟機，則該系統上的本機使用者可取得敏感記憶體的存取權。

- CVE-2013-2232 Dave Jones 和 Hannes Frederic Sowa 已解決 IPv6 子系統中的一個問題。本機使用者可使用 AF_INET6 通訊端連線至 IPv4 目的地，從而引發拒絕服務。

- CVE-2013-2234 Mathias Krause 報告，在 PF_KEYv2 通訊端實作中有一個記憶體洩漏瑕疵。本機使用者可取得敏感核心記憶體的存取權。

- CVE-2013-2237 Nicolas Dichtel 報告，在 PF_KEYv2 通訊端實作中有一個記憶體洩漏瑕疵。本機使用者可取得敏感核心記憶體的存取權。

- CVE-2013-2851 Kees Cook 報告封鎖子系統中的問題。
 具有 uid 0 的本機使用者可取得提升的第 0 級權限。這是某些經過特別設定的系統才會出現的安全性問題。

- CVE-2013-2852 Kees Cook 報告，特定 Broadcom 無線裝置的 b43 網路驅動程式中有一個問題。具有 uid 0 的本機使用者可取得提升的第 0 級權限。這是某些經過特別設定的系統才會出現的安全性問題。

- CVE-2013-4162 Hannes Frederic Sowa 報告，IPv6 網路子系統中有一個問題。本機使用者可造成拒絕服務 (系統當機)。

- CVE-2013-4163 Dave Jones 報告，IPv6 網路子系統中有一個問題。本機使用者可造成拒絕服務 (系統當機)。

此更新也包括對 Xen 子系統中迴歸的修正。

Pedro Ribeiro 和 Huzaifa S. Sidhpurwala 發現，tiff 程式庫隨附的多項工具中有多個弱點。
處理格式錯誤的檔案可能導致拒絕服務或任意程式碼執行。

在 FreeBSD 核心中發現數個弱點，這些弱點可能會導致權限提升或資訊洩漏。Common Vulnerabilities and Exposures 專案發現下列問題：

- CVE-2013-3077 Google 安全性團隊的 Clement Lecigne 報告在 IP 多點傳送程式碼中計算暫存緩衝區大小時出現一個整數溢位，這可能會導致緩衝區對於所要求的作業太小。
 無權限的處理程序可以讀取或寫入屬於核心的記憶體頁面。這些可能會導致洩漏敏感資訊或允許權限提升。

- CVE-2013-4851 Rick Macklem、Christopher Key 和 Tim Zingelman 報告，在填寫用於 NFS 匯出的匿名認證、同時使用 -network 或 -host 限制時，FreeBSD 核心錯誤地使用用戶端提供的認證，而非 exports(5) 中設定的認證。遠端用戶端可能會在存取 NFS 共用底下的檔案時，提供有權限的認證 (例如，root 使用者)，此認證將會繞過正常的存取檢查。

- CVE-2013-5209 Julian Seward 和 Michael Tuexen 報告，初始化以 INIT-ACK 區塊傳送的 SCTP 狀態 cookie 時，發生核心記憶體洩漏，這是因為未完全初始化從核心堆疊配置的緩衝區所導致。
 核心記憶體的片段可能包含在 SCTP 封包中，並透過網路傳輸。每個 SCTP 工作階段有兩個個別的執行個體，其中可能會傳輸一個 4 位元組的片段。

此記憶體可能含有敏感資訊，例如，檔案快取部分或終端機緩衝區。此資訊可能直接可用，或者可能用來以特定方式取得提升的權限。例如，終端機緩衝區可能包含一個使用者輸入的密碼。

據發現，常用於 web 應用程式開發的一般用途指令碼語言 PHP，未正確處理 X.509 憑證中 subjectAltName 延伸模組的內嵌 NUL 字元。視應用程式和 CA 層級檢查的充分程度而定，此問題可遭到濫用來模擬其他使用者。

在 Chromium 網頁瀏覽器中發現數個弱點。

- CVE-2013-2887 chrome 29 開發團隊發現內部模糊測試、稽核和其他研究中有多個問題。

- CVE-2013-2900 Krystian Bigaj 發現一個檔案處理路徑清理問題。

- CVE-2013-2901 Alex Chapman 在 ANGLE (Almost Native Graphics Layer) 中發現一個整數溢位問題。

- CVE-2013-2902 cloudfuzzer 在 XSLT 中發現一個釋放後使用問題。

- CVE-2013-2903 cloudfuzzer 在 HTMLMediaElement 中發現一個釋放後使用問題。

- CVE-2013-2904 cloudfuzzer 在 XML 文件剖析中發現一個釋放後使用問題。

- CVE-2013-2905 Christian Jaeger 發現一個資訊洩漏，這是因為檔案權限不足所導致。

Nick Brunn 報告 python-django (一種高階 Python Web 開發架構) 中可能存在一個跨網站指令碼弱點。

用來驗證目前主機上使用的 URL 以避免可能從惡意建構的查詢字串發生危險重新導向的 is_safe_url 公用程式函式，可針對 HTTP 和 HTTPS URL 正常運作，但會允許重新導向至其他配置，如 javascript。

is_safe_url 函式已經過修改，現可正確識別並拒絕不是指定 HTTP 或 HTTPS 配置的 URL，避免透過重新導向至其他配置來發動跨網站指令碼攻擊。

在在監控系統的圖形 Web 介面 Cacti 中，發現兩個安全性問題 (透過 SNMP 設定發生的 SQL 插入和命令行插入)。

在 Ruby 語言的解譯器中發現數個弱點，可能導致拒絕服務和其他安全性問題。Common Vulnerabilities and Exposures 專案發現下列問題：

- CVE-2013-1821 Ben Murphy 發現 REXML 中有不受限制的實體擴充，可能會導致占用所有主機記憶體，從而引發拒絕服務。

- CVE-2013-4073 William (B.J.)Snow Orvis 在 Ruby 之 SSL 用戶端的主機名稱檢查中發現一個弱點，該弱點可允許攔截式攻擊者透過受信任之憑證授權單位所核發的有效憑證，偽造 SSL 伺服器。

ID	名稱	嚴重性
70664	Debian DSA-2786-1：icu - 數個弱點	high
70652	Debian DSA-2787-1：roundcube - 設計錯誤	high
70636	Debian DSA-2785-1 : chromium-browser - 數個弱點	high
70548	Debian DSA-2784-1：xorg-server - 釋放後使用	medium
70534	Debian DSA-2783-1：librack-ruby - 數個弱點	medium
70533	Debian DSA-2782-1：polarssl - 數個弱點	medium
70503	Debian DSA-2781-1：python-crypto - 某些情況下 PRNG 未正確釋放	medium
70502	Debian DSA-2780-1 : mysql-5.1 - 數個弱點	critical
70417	Debian DSA-2779-1 : libxml2 - 拒絕服務	medium
70403	Debian DSA-2778-1：libapache2-mod-fcgid - 堆積型緩衝區溢位	medium
70402	Debian DSA-2777-1：systemd - 數個弱點	high
70401	Debian DSA-2776-1 : drupal6 - 數個弱點	medium
70375	Debian DSA-2775-1：ejabberd - 不安全的 SSL 使用方式	medium
70374	Debian DSA-2774-1 : gnupg2 - 數個弱點	medium
70373	Debian DSA-2773-1：gnupg - 數個弱點	medium
70372	Debian DSA-2772-1 : typo3-src - XSS	medium
70355	Debian DSA-2771-1：nas - 數個弱點	high
70354	Debian DSA-2770-1：torque - 驗證繞過	high
70353	Debian DSA-2769-1 : kfreebsd-9 - 權限提升/拒絕服務	medium
70303	Debian DSA-2768-1：icedtea-web - 堆積型緩衝區溢位	medium
70201	Debian DSA-2767-1：proftpd-dfsg - 拒絕服務	medium
70200	Debian DSA-2766-1 : linux-2.6 - 權限提升/拒絕服務/資訊洩漏	medium
70148	Debian DSA-2765-1 : davfs2 - 權限提升	high
70128	Debian DSA-2764-1：libvirt - 程式設計錯誤	medium
70105	Debian DSA-2763-1：pyopenssl - 主機名稱檢查繞過	medium
70080	Debian DSA-2762-1 : icedove - 數個弱點	critical
70002	Debian DSA-2761-1 : puppet - 數個弱點	medium
69960	Debian DSA-2760-1 : chrony - 數個弱點	medium
69959	Debian DSA-2759-1 : iceweasel - 數個弱點	critical
69938	Debian DSA-2758-1：python-django - 拒絕服務	medium
69895	Debian DSA-2757-1 : wordpress - 數個弱點	high
69885	Debian DSA-2756-1 : wireshark - 數個弱點	medium
69884	Debian DSA-2753-1：mediawiki - 資訊洩漏	medium
69848	Debian DSA-2755-1：python-django - 目錄遊走	medium
69841	Debian DSA-2754-1 : exactimage - 拒絕服務	medium
69813	Debian DSA-2752-1：phpbb3 - 權限過寬	low
69781	Debian DSA-2751-1 : libmodplug - 數個弱點	medium
69780	Debian DSA-2750-1：imagemagick - 緩衝區溢位	medium
69542	Debian DSA-2749-1 : asterisk - 多個弱點	medium
69523	Debian DSA-2748-1 : exactimage - 拒絕服務	medium
69522	Debian DSA-2747-1 : cacti - 數個弱點	high
69506	Debian DSA-2746-1 : icedove - 數個弱點	critical
69505	Debian DSA-2745-1 : linux - 權限提升/拒絕服務/資訊洩漏	high
69484	Debian DSA-2744-1 : tiff - 多個弱點	medium
69483	Debian DSA-2743-1 : kfreebsd-9 - 權限提升/資訊洩漏	high
69473	Debian DSA-2742-1：php5 - 解譯衝突	medium
69470	Debian DSA-2741-1 : chromium-browser - 數個弱點	high
69459	Debian DSA-2740-2：python-django - XSS 弱點	medium
69435	Debian DSA-2739-1 : cacti - 數個弱點	high
69398	Debian DSA-2738-1 : ruby1.9.1 - 數個弱點	medium

偵測

Nessus 的 Debian Local Security Checks 系列

high

high

high

medium

medium

medium

medium

critical

medium

medium

high

medium

medium

medium

medium

medium

high

high

medium

medium

medium

medium

high

medium

medium

critical

medium

medium

critical

medium

high

medium

medium

medium

medium

low

medium

medium

medium

medium

high

critical

high

medium

high

medium

high

medium

high

medium