根據其標題，遠端主機上執行的 Aspen 為 0.22 之前的版本。因此會受到一個目錄遊走弱點影響，這是因為不當清理使用者提供的輸入所導致。請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

遠端網頁伺服器已識別為 Zimbra 的多執行緒 HTTP 伺服器。此第三方 Zimbra 附加元件無法清理 URL 的方式會導致受到遊走攻擊。未經驗證的遠端攻擊者可惡意利用此問題，檢視遠端主機上的任意檔案。

根據其回應標頭中自我報告的版本，遠端 Web 伺服器上主控的 nginx 版本為 1.8.1 之前的版本或 1.9.10 之前的 1.9.x 版。因此，會受到供應商公告中所述多個弱點的影響。

根據其回應標頭中自我報告的版本，遠端 Web 伺服器上主控的 nginx 版本為 0.7.67 之前的版本或 0.8.41 之前的 0.8.x 版。因此，會受到供應商公告中所述一個遠端拒絕服務 (DoS) 弱點的影響。

根據其回應標頭中自我報告的版本，遠端 Web 伺服器上主控的 nginx 版本為 0.7.66 之前的版本或 0.8.40 之前的 0.8.x 版。因此，會受到供應商公告中所述一個原始程式碼資訊洩漏弱點的影響。

根據其回應標頭中自我報告的版本，遠端 Web 伺服器上主控的 nginx 版本為 0.7.64 之前的版本或 0.8.23 之前的 0.8.x 版。因此，會受到供應商公告中所述多個弱點的影響。

根據其回應標頭中自我報告的版本，遠端 Web 伺服器上主控的 nginx 版本為 0.7.63 之前的版本或 0.8.17 之前的 0.8.x 版。因此，會受到如供應商公告中說明的一個目錄遊走弱點影響。

根據其標題，遠端主機上執行的 Apache Traffic Server 版本為 5.2.0 與 5.3.2 之間的版本、6.2.2 之前的 6.x 或 7.1.2 之前的 7.x 版。因此，會受到與處理 TLS 交握相關的缺陷影響，遠端攻擊著可藉以造成應用程式損毀。請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

根據其標題，遠端主機上執行的 Apache Traffic Server 版本為 6.2.2 之前的 6.x 版或 7.1.2 之前的 7.x 版。因此，會受到與處理「Host」標頭及分行相關的輸入驗證弱點所影響，遠端攻擊者可藉以造成使用錯誤的主機。請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機上安裝的 Apache Tomcat 版本是比 9.0.5 舊的 9.0.x。因此，它受到安全性條件約束瑕疵的影響，此瑕疵可導致資源外洩給未經授權的使用者。); # http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.5script_set_attribute(attribute:see_also, value:http://www.nessus.org/u?909ff130

  - 在 Apache Tomcat 9.0.0.M1 至 9.0.4、8.5.0 至 8.5.27、8.0.0.RC1 至 8.0.49 和 7.0.0 至 7.0.84 版中，當安全性條件約束定義中使用到完全對應至內容 root 的 (空字串) URL 模式時，程式未做正確的處理。這會造成條件約束被忽略。因此未經授權的使用者可存取應該受到保護的 Web 應用程式資源。只有具有空字串 URL 模式的安全性條件約束會受到影響。(CVE-2018-1304)

  - 在 Apache Tomcat 9.0.0.M1 至 9.0.4、8.5.0 至 8.5.27、8.0.0.RC1 至 8.0.49 和 7.0.0 至 7.0.84 版中，由 Servlet 註解定義的安全性條件約束僅在載入 Servlet 後才會套用。以此方式定義的安全性條件約束會套用到 URL 模式以及該點之下的任何 URL，因此可能會根據載入 Servlet 的順序，而沒有套用部分安全性條件約束。
    這可能導致向未獲存取授權的使用者洩漏資源。(CVE-2018-1305)

遠端主機上安裝的 Tomcat 版本比 8.5.28 舊。因此，會受到 fixed_in_apache_tomcat_8.5.28_security-8 公告中提及的多個弱點影響。

  - 在 Apache Tomcat 9.0.0.M1 至 9.0.4、8.5.0 至 8.5.27、8.0.0.RC1 至 8.0.49 和 7.0.0 至 7.0.84 版中，由 Servlet 註解定義的安全性條件約束僅在載入 Servlet 後才會套用。以此方式定義的安全性條件約束會套用到 URL 模式以及該點之下的任何 URL，因此可能會根據載入 Servlet 的順序，而沒有套用部分安全性條件約束。
    這可能導致向未獲存取授權的使用者洩漏資源。(CVE-2018-1305)

  - 在 Apache Tomcat 9.0.0.M1 至 9.0.4、8.5.0 至 8.5.27、8.0.0.RC1 至 8.0.49 和 7.0.0 至 7.0.84 版中，當安全性條件約束定義中使用到完全對應至內容 root 的 (空字串) URL 模式時，程式未做正確的處理。這會造成條件約束被忽略。因此未經授權的使用者可存取應該受到保護的 Web 應用程式資源。只有具有空字串 URL 模式的安全性條件約束會受到影響。(CVE-2018-1304)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 8.0.50 舊。因此，會受到 fixed_in_apache_tomcat_8.0.50_security-8 公告中提及的多個弱點影響。

  - 在 Apache Tomcat 9.0.0.M1 至 9.0.4、8.5.0 至 8.5.27、8.0.0.RC1 至 8.0.49 和 7.0.0 至 7.0.84 版中，由 Servlet 註解定義的安全性條件約束僅在載入 Servlet 後才會套用。以此方式定義的安全性條件約束會套用到 URL 模式以及該點之下的任何 URL，因此可能會根據載入 Servlet 的順序，而沒有套用部分安全性條件約束。
    這可能導致向未獲存取授權的使用者洩漏資源。(CVE-2018-1305)

  - 在 Apache Tomcat 9.0.0.M1 至 9.0.4、8.5.0 至 8.5.27、8.0.0.RC1 至 8.0.49 和 7.0.0 至 7.0.84 版中，當安全性條件約束定義中使用到完全對應至內容 root 的 (空字串) URL 模式時，程式未做正確的處理。這會造成條件約束被忽略。因此未經授權的使用者可存取應該受到保護的 Web 應用程式資源。只有具有空字串 URL 模式的安全性條件約束會受到影響。(CVE-2018-1304)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 7.0.85 舊。因此，會受到 fixed_in_apache_tomcat_7.0.85_security-7 公告中提及的多個弱點影響。

  - 在 Apache Tomcat 9.0.0.M1 至 9.0.4、8.5.0 至 8.5.27、8.0.0.RC1 至 8.0.49 和 7.0.0 至 7.0.84 版中，由 Servlet 註解定義的安全性條件約束僅在載入 Servlet 後才會套用。以此方式定義的安全性條件約束會套用到 URL 模式以及該點之下的任何 URL，因此可能會根據載入 Servlet 的順序，而沒有套用部分安全性條件約束。
    這可能導致向未獲存取授權的使用者洩漏資源。(CVE-2018-1305)

  - 在 Apache Tomcat 9.0.0.M1 至 9.0.4、8.5.0 至 8.5.27、8.0.0.RC1 至 8.0.49 和 7.0.0 至 7.0.84 版中，當安全性條件約束定義中使用到完全對應至內容 root 的 (空字串) URL 模式時，程式未做正確的處理。這會造成條件約束被忽略。因此未經授權的使用者可存取應該受到保護的 Web 應用程式資源。只有具有空字串 URL 模式的安全性條件約束會受到影響。(CVE-2018-1304)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 IBM WebSphere Application Server 版本為 7.0.0.45 之前的 7.0.0.0 版、8.0.0.15 之前的 8.0.0.0 版、8.5.5.14 之前的 8.5.0.0 版，或是 9.0.0.7 之前的 9.0.0.0 版。因此，會受到管理主控台中一個不明權限提升弱點影響。經驗證的遠端攻擊者可加以惡意利用來取得提升的權限。

遠端主機上安裝的 Tomcat 版本比 9.0.2 舊。因此，會受到 fixed_in_apache_tomcat_9.0.2_security-9 公告中所提及的一個弱點影響。

  - 在適用於錯誤 61201 的修正中，Apache Tomcat 9.0.0.M22 至 9.0.1、8.5.16 至 8.5.23、8.0.45 至 8.0.47 及 7.0.79 至 7.0.82 版的文件包含 CGI Servlet 所使用之搜尋演算法的更新說明，以識別要執行的指令碼。此更新不正確。因此，有些指令碼可能無法如預期般執行，有些指令碼則以非預期的方式執行。請注意，CGI servlet 的行為在這方面保持不變。僅針對行為錯誤的文件，而且已經更正。(CVE-2017-15706)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 8.5.24 舊。因此，會受到 fixed_in_apache_tomcat_8.5.24_security-8 公告中所提及的一個弱點影響。

  - 在適用於錯誤 61201 的修正中，Apache Tomcat 9.0.0.M22 至 9.0.1、8.5.16 至 8.5.23、8.0.45 至 8.0.47 及 7.0.79 至 7.0.82 版的文件包含 CGI Servlet 所使用之搜尋演算法的更新說明，以識別要執行的指令碼。此更新不正確。因此，有些指令碼可能無法如預期般執行，有些指令碼則以非預期的方式執行。請注意，CGI servlet 的行為在這方面保持不變。僅針對行為錯誤的文件，而且已經更正。(CVE-2017-15706)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 8.0.48 舊。因此，會受到 fixed_in_apache_tomcat_8.0.48_security-8 公告中所提及的一個弱點影響。

  - 在適用於錯誤 61201 的修正中，Apache Tomcat 9.0.0.M22 至 9.0.1、8.5.16 至 8.5.23、8.0.45 至 8.0.47 及 7.0.79 至 7.0.82 版的文件包含 CGI Servlet 所使用之搜尋演算法的更新說明，以識別要執行的指令碼。此更新不正確。因此，有些指令碼可能無法如預期般執行，有些指令碼則以非預期的方式執行。請注意，CGI servlet 的行為在這方面保持不變。僅針對行為錯誤的文件，而且已經更正。(CVE-2017-15706)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 7.0.84 舊。因此，會受到 fixed_in_apache_tomcat_7.0.84_security-7 公告中所提及的一個弱點影響。

  - 在適用於錯誤 61201 的修正中，Apache Tomcat 9.0.0.M22 至 9.0.1、8.5.16 至 8.5.23、8.0.45 至 8.0.47 及 7.0.79 至 7.0.82 版的文件包含 CGI Servlet 所使用之搜尋演算法的更新說明，以識別要執行的指令碼。此更新不正確。因此，有些指令碼可能無法如預期般執行，有些指令碼則以非預期的方式執行。請注意，CGI servlet 的行為在這方面保持不變。僅針對行為錯誤的文件，而且已經更正。(CVE-2017-15706)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Nessus 可透過檢視遠端主機上的 HTTP 標題來偵測 lighttpd HTTP 伺服器。

根據其標題，遠端主機上執行的 lighttpd 版本比 1.4.36 舊。因此，會受到以下弱點影響：- 1.4.36 之前的 lighttpd 中的 mod_auth 允許遠端攻擊者透過沒有冒號字元的基本 HTTP 驗證字串，插入任意記錄項目，包含 NULL 及新行字元的字串即為一例。請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據其標題，遠端主機上執行的 lighttpd 版本比 1.4.28 舊。因此可能受到下列弱點影響：- 在 Debian GNU/Linux 上，1.4.28 版之前的 lighttpd 中，FastCGI PHP 支援的組態檔會在 /tmp 中建立一個含有可預測檔名的通訊端檔案，進而允許本機使用者透過符號連結攻擊或爭用情形，劫持 PHP 控制通訊端及執行未經授權的動作 (例如強制使用不同版本的 PHP)。請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據其標題，遠端主機上執行的 lighttpd 版本比 1.4.26 舊，或是 1.5.0 版。因此，會受到以下弱點影響：- lighttpd 會針對各項讀取作業配置緩衝區，遠端攻擊者可藉以透過將要求分散成多個小片段後慢速傳送的方式，來造成拒絕服務 (記憶體耗用)。請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據其標題，遠端主機上執行的 lighttpd 版本比 1.4.19 舊。因此可能受到下列多個弱點影響：- lighttpd 未正確計算檔案描述元陣列的大小，遠端攻擊者可藉以透過大量連線觸發超出邊界存取，進而造成拒絕服務 (損毀)。- 發生分支錯誤時，lighttpd 會傳送 CGI 指令碼的原始程式碼，而非 500 錯誤，遠端攻擊者可藉以取得敏感資訊。- 若在未設定 userdir.path 的情況下使用 $HOME 預設值，遠端攻擊者可能可藉以讀取任意檔案。請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據其標題，遠端主機上執行的 lighttpd 版本比 1.4.16 舊。因此，會受到多個弱點影響：- 遠端攻擊者可利用 mod_auth 透過不明向量造成拒絕服務，包括 (1) 記憶體洩漏、(2) 使用無 cnonce 的 md5-sess、(3) 以 base64 編碼的字串，以及 (4) Auth-Digest 標頭中的尾端空白字元。(CVE-2007-3946) - 遠端攻擊者可藉由伺服器，透過傳送具有重複標頭的 HTTP 要求造成拒絕服務。(CVE-2007-3947) - 伺服器可能接受比已設定的上限還多的連線數，遠端攻擊者可藉以透過大量連線嘗試次數，造成拒絕服務。(CVE-2007-3948) - mod_access 忽略 URL 中的尾端 / (反斜線) 字元，遠端攻擊者可藉以繞過 url.access-deny 設定 (CVE-2007-3949) - 伺服器在 32 位元平台上執行時，遠端攻擊者可藉以透過不明向量造成拒絕服務 (程序損毀)，包括在 (1) mod_scgi、(2) mod_fastcgi 及 (3) mod_webdav 模組的特定偵錯訊息中使用不相容的格式規範。(CVE-2007-3950) 請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端 Web 伺服器使用預設的 IIS 索引頁面。此頁面可能含有額外的版本資訊，而且是伺服器設定錯誤的指示。

根據其自我報告的版本號碼，在遠端主機上執行的 VMware AirWatch Console 安裝作業為 9.1.5 之前的 9.1.x，或是 9.2.2 之前的 9.2.x。因此，會受到一個使用者輸入驗證錯誤影響，其會導致跨網站要求偽造 (XSRF) 攻擊。請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

Nessus 可透過檢視遠端主機上的 HTTP 標題來偵測 nginx HTTP 伺服器。

遠端 Web 伺服器含有預設設定，如已啟用的伺服器 token，及/或預設檔案，如預設索引或錯誤頁面。這些項目可能導致與伺服器安裝相關的實用資訊洩漏。

根據其自我報告的版本，在遠端主機上執行的 Oracle iPlanet Web Server (之前稱為 Sun Java System Web Server) 是比 7.0.27 Patch 26834070 舊的 7.0.x 版。因此會受到 Network Security Services (NSS) 程式庫中的一個不明弱點的影響，影響範圍不明。

遠端主機上安裝的 Oracle HTTP Server 版本受到 2018 年 1 月 CPU 公告中所述的多個弱點影響。

遠端 Web 伺服器傳送的 HTTP 標頭會洩漏可供攻擊者利用的資訊，例如伺服器版本、作業系統和模組版本。

Apache 伺服器未妥當限制對 .htaccess 及/或 .htpasswd 檔案的存取權限。未經驗證的遠端攻擊者可下載這些檔案，並可能揭露重要資訊。

遠端 Web 伺服器使用預設的 Apache 索引頁面。此頁面可能含有部份敏感資料，如伺服器 root 與安裝路徑。

遠端主機上的 Intel Management Engine 已經啟用主動管理技術 (AMT)，且可於遠端存取。

遠端 Oracle WebLogic Server 受到 WSAT 端點中一個遠端程式碼執行弱點的影響，這是因為對以 XML 編碼的 Java 物件進行不安全的還原序列化所致。未經驗證的遠端攻擊者可加以惡意利用，透過特製的 Java 物件，在 WebLogic 伺服器內容中執行任意 Java 程式碼。

遠端主機上安裝的 OpenSSL 為 1.1.0h 之前版本。因此，它會受到 1.1.0h 公告中所提及的多個弱點影響。

  - 使用遞迴定義建構的 ASN.1 類型 (如 PKCS7 中所找到的類型) 最終可能會因為提供含有過度遞迴的惡意輸入而超出堆疊。這可能會導致拒絕服務攻擊。在 SSL/TLS 內沒有來自未受信任來源的這類結構，因此這被視為安全。已在 OpenSSL 1.1.0h 中修正 (受影響的是 1.1.0-1.1.0g)。已在 OpenSSL 1.0.2o 中修正 (受影響的是 1.0.2b-1.0.2n)。(CVE-2018-0739)

  - 由於實作錯誤的緣故，PA-RISC CRYPTO_memcmp 函式會有效地減少為僅比較每個位元組的最低有效位元。如此可讓攻擊者以比配置的安全性聲明所保證還少的嘗試次數，偽造將被視為經過驗證的訊息。該模組只能由 HP-UX 組合器編譯，因此只有 HP-UX PA-RISC 目標受到影響。已在 OpenSSL 1.1.0h 中修正 (受影響的是 1.1.0-1.1.0g)。(CVE-2018-0733)

  - 在用於具有 1024 位元模數之乘冪的 AVX2 Montgomery 乘法程序中有一個溢位錯誤。EC 演算法未受到影響。分析資料指出，因此缺陷而對 RSA 與 DSA 所發動的攻擊極難執行，而且可能性不高。對 DH1024 發動攻擊是可行的，因為推算私密金鑰相關資訊所需的多數工作可以於離線執行。此類攻擊所需的資源量極大。但是，若要讓對 TLS 的攻擊有意義，伺服器必須在多個用戶端之間共用 DH1024 私密金鑰，自 CVE-2016-0701 以來已無此選項。這只會影響支援 AVX2 的處理器，但不會影響支援 ADX 延伸的處理器，如 Intel Haswell (第 4 代)。請注意：此問題的影響類似於 CVE-2017-3736、CVE-2017-3732 和 CVE-2015-3193。OpenSSL 1.0.2-1.0.2m 和 1.1.0-1.1.0g 版受到影響。已在 OpenSSL 1.0.2n 中修正。由於此問題的嚴重性低，因此我們目前不會發佈新版本的 OpenSSL 1.1.0。此修正在可用時將包含在 OpenSSL 1.1.0h 中。此修正也可在 OpenSSL git 存放庫的認可 e502cc86d 中使用。
    (CVE-2017-3738)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 為 1.0.2n 之前版本。因此，它會受到 1.0.2n 公告中所提及的多個弱點影響。

  - 在用於具有 1024 位元模數之乘冪的 AVX2 Montgomery 乘法程序中有一個溢位錯誤。EC 演算法未受到影響。分析資料指出，因此缺陷而對 RSA 與 DSA 所發動的攻擊極難執行，而且可能性不高。對 DH1024 發動攻擊是可行的，因為推算私密金鑰相關資訊所需的多數工作可以於離線執行。此類攻擊所需的資源量極大。但是，若要讓對 TLS 的攻擊有意義，伺服器必須在多個用戶端之間共用 DH1024 私密金鑰，自 CVE-2016-0701 以來已無此選項。這只會影響支援 AVX2 的處理器，但不會影響支援 ADX 延伸的處理器，如 Intel Haswell (第 4 代)。請注意：此問題的影響類似於 CVE-2017-3736、CVE-2017-3732 和 CVE-2015-3193。OpenSSL 1.0.2-1.0.2m 和 1.1.0-1.1.0g 版受到影響。已在 OpenSSL 1.0.2n 中修正。由於此問題的嚴重性低，因此我們目前不會發佈新版本的 OpenSSL 1.1.0。此修正在可用時將包含在 OpenSSL 1.1.0h 中。此修正也可在 OpenSSL git 存放庫的認可 e502cc86d 中使用。
    (CVE-2017-3738)

  - OpenSSL 1.0.2 (從 1.0.2b 版開始) 引入了錯誤狀態機制。意圖是，如果在交握期間發生嚴重錯誤，則 OpenSSL 將會移至錯誤狀態，如果您嘗試繼續交握，則會立即失敗。這適用於明確的交握函式 (SSL_do_handshake()、SSL_accept() 和 SSL_connect())，但是，由於發生錯誤的緣故，如果直接呼叫 SSL_read() 或 SSL_write()，則無法正確運作。在該情況下，如果交握失敗，則在初始函式呼叫中將會傳回嚴重錯誤。如果之後應用程式針對相同的 SSL 物件呼叫 SSL_read()/SSL_write()，則會成功傳遞資料，而無須直接從 SSL/TLS 記錄層進行解密/加密。若要惡意利用此問題，則必須存在一個應用程式錯誤，此錯誤會導致在收到嚴重錯誤之後，對 SSL_read()/SSL_write() 發出呼叫。OpenSSL 1.0.2b-1.0.2m 版會受到影響。已在 OpenSSL 1.0.2n 中修正。OpenSSL 1.1.0 不會受到影響。(CVE-2017-3737)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 HTTP 伺服器受到一個缺陷影響，未經驗證的遠端攻擊者可藉以上傳並執行 JSP 檔案。

遠端主機上安裝的 OpenSSL 為 1.1.0g 之前版本。因此，它會受到 1.1.0g 公告中所提及的多個弱點影響。

  - OpenSSL 1.0.2m 之前版本及 1.1.0 至 1.1.0g 版本的 x86_64 Montgomery 平方程序中有一個進位傳播錯誤。EC 演算法未受到影響。分析資料指出，因此缺陷而對 RSA 與 DSA 所發動的攻擊極難執行，而且可能性不高。對 DH 發動攻擊是可行的 (但難度極高)，因為推算私密金鑰相關資訊所需的多數工作可以於離線執行。此類攻擊所需的資源量極大，而且只限極少數的攻擊者可以存取。在具有持續 DH 參數且多個用戶端共用一組私密金鑰的情況下，攻擊者還需額外使用目標私密金鑰，於線上存取未經修補的系統。這只會影響支援 BMI1、BMI2 及 ADX 延伸的處理器，如 Intel Broadwell (第 5 代) 及更新版本，或 AMD Ryzen。(CVE-2017-3736)

  - 剖析 X.509 憑證中的 IPAddressFamily 延伸模組時，可執行一位元組過讀作業。這將會導致不正確地顯示憑證文字。此錯誤自 2006 年起出現，存在於 1.0.2m 之前的所有 OpenSSL 版本和 1.1.0g 版本。(CVE-2017-3735)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 為 1.0.2m 之前版本。因此，它會受到 1.0.2m 公告中所提及的多個弱點影響。

  - OpenSSL 1.0.2m 之前版本及 1.1.0 至 1.1.0g 版本的 x86_64 Montgomery 平方程序中有一個進位傳播錯誤。EC 演算法未受到影響。分析資料指出，因此缺陷而對 RSA 與 DSA 所發動的攻擊極難執行，而且可能性不高。對 DH 發動攻擊是可行的 (但難度極高)，因為推算私密金鑰相關資訊所需的多數工作可以於離線執行。此類攻擊所需的資源量極大，而且只限極少數的攻擊者可以存取。在具有持續 DH 參數且多個用戶端共用一組私密金鑰的情況下，攻擊者還需額外使用目標私密金鑰，於線上存取未經修補的系統。這只會影響支援 BMI1、BMI2 及 ADX 延伸的處理器，如 Intel Broadwell (第 5 代) 及更新版本，或 AMD Ryzen。(CVE-2017-3736)

  - 剖析 X.509 憑證中的 IPAddressFamily 延伸模組時，可執行一位元組過讀作業。這將會導致不正確地顯示憑證文字。此錯誤自 2006 年起出現，存在於 1.0.2m 之前的所有 OpenSSL 版本和 1.1.0g 版本。(CVE-2017-3735)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Apache Tomcat 版本是比 6.0.24 舊的 6.0.x。因此，會受到多個弱點影響：- 使用「Sendfile」處理管線化要求時，有一個不明缺陷存在。如果 sendfile 處理快速完成，處理器可能會加入處理器快取兩次。這可導致無效回應或資訊洩漏。(CVE-2017-5647) - DefaultServlet 實作的錯誤頁面機制中的不明缺陷讓特製的 HTTP 要求得以產生不需要的副作用，包括移除或取代自訂錯誤頁面。(CVE-2017-5664) - 一個不明缺陷影響到已設定為允許使用具有 HTTP PUT 要求的 readonly=false 的 servlet 內容。攻擊者可將 JSP 檔案上傳至該內容，然後執行任意程式碼。(CVE-2017-12615、CVE-2017-12617) 請注意，Nessus 並未嘗試惡意利用此問題，而是僅依據應用程式自我報告的版本號碼。

根據其自我報告的版本號碼，在遠端主機上執行的 IBM BigFix Platform 應用程式為比 9.2.12 舊的 9.2.x 或比 9.5.7 舊的 9.5.x。因此，該應用程式受到多個弱點影響：

  - 一個不明的跨網站要求偽造 (XSRF) 弱點，允許攻擊者執行網站信任之使用者傳送的惡意和未經授權動作。(CVE-2017-1218)

  - 一個不明缺陷，會造成敏感資訊洩漏給未經授權的使用者。(CVE-2017-1220)

  - 未對重要資源或功能執行驗證檢查，使匿名使用者得以存取受保護的區域。(CVE-2017-1222) 

  - 有一個資訊洩漏弱點，這是因為將 URL 參數中的敏感資訊儲存在伺服器記錄、參照位址標頭及瀏覽器歷史記錄中所致。
    (CVE-2017-1225、CVE-2017-1226)

  - 有一個資訊洩漏弱點，這是因為未能正確啟用安全的 cookie 屬性所致。攻擊者可惡意利用此弱點，使用攔截式技術取得敏感資訊。(CVE-2017-1228) 

  - 有一個資訊洩漏弱點，這是因為在依賴無法預測之數字的安全性內容中，使用了隨機性不足的數字所致。攻擊者可藉此弱點經由猜測 token 或識別項的方式，來洩漏敏感資訊。
    (CVE-2017-1230)

  - 有一個資訊洩漏弱點，這是因為以純文字形式傳送敏感資料所造成。
    (CVE-2017-1232)

  - 有一個跨網站指令碼弱點，攻擊者可利用此弱點將任意 JavaScript 程式碼嵌入 WebReports，從而在受信任的工作階段內造成憑證洩漏。(CVE-2017-1521)

IBM BigFix Platform 之前稱為 Tivoli Endpoint Manager、IBM Endpoint Manager 和 IBM BigFix Endpoint Manager。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據其自我報告的版本，遠端主機上執行的 Oracle GlassFish Server 版本為比 3.0.1.17 舊的 3.0.1.x，或比 3.1.2.18 舊的 3.1.2.x。因此，會受到多個弱點影響，包括多個拒絕服務弱點和未經授權存取敏感資料。

根據其標題，遠端主機上執行的 Apache 版本是比 2.4.28 舊的 2.4.x 版。因此，該應用程式受到 .htaccess 檔案中與 < Limit {method}> 指示詞相關的 HTTP 弱點影響。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機上安裝的 Tomcat 版本比 7.0.82 舊。因此，會受到 fixed_in_apache_tomcat_7.0.82_security-7 公告中所提及的一個弱點影響。

  - 在啟用 HTTP PUT 的情況下執行 Apache Tomcat 9.0.0.M1 至 9.0.0、8.5.0 至 8.5.22、8.0.0.RC1 至 8.0.46、7.0.0 至 7.0.81 版時 (例如，透過設定預設 servlet 為 false 的唯讀初始化參數)，他人可以透過特製的要求，將 JSP 檔案上傳至伺服器。而後伺服器即可要求此 JSP，並執行其所包含的任何程式碼。(CVE-2017-12617)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 9.0.1 舊。因此，會受到 fixed_in_apache_tomcat_9.0.1_security-9 公告中所提及的一個弱點影響。

  - 在啟用 HTTP PUT 的情況下執行 Apache Tomcat 9.0.0.M1 至 9.0.0、8.5.0 至 8.5.22、8.0.0.RC1 至 8.0.46、7.0.0 至 7.0.81 版時 (例如，透過設定預設 servlet 為 false 的唯讀初始化參數)，他人可以透過特製的要求，將 JSP 檔案上傳至伺服器。而後伺服器即可要求此 JSP，並執行其所包含的任何程式碼。(CVE-2017-12617)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 8.5.23 舊。因此，會受到 fixed_in_apache_tomcat_8.5.23_security-8 公告中所提及的一個弱點影響。

  - 在啟用 HTTP PUT 的情況下執行 Apache Tomcat 9.0.0.M1 至 9.0.0、8.5.0 至 8.5.22、8.0.0.RC1 至 8.0.46、7.0.0 至 7.0.81 版時 (例如，透過設定預設 servlet 為 false 的唯讀初始化參數)，他人可以透過特製的要求，將 JSP 檔案上傳至伺服器。而後伺服器即可要求此 JSP，並執行其所包含的任何程式碼。(CVE-2017-12617)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 8.0.47 舊。因此，會受到 fixed_in_apache_tomcat_8.0.47_security-8 公告中所提及的一個弱點影響。

  - 在啟用 HTTP PUT 的情況下執行 Apache Tomcat 9.0.0.M1 至 9.0.0、8.5.0 至 8.5.22、8.0.0.RC1 至 8.0.46、7.0.0 至 7.0.81 版時 (例如，透過設定預設 servlet 為 false 的唯讀初始化參數)，他人可以透過特製的要求，將 JSP 檔案上傳至伺服器。而後伺服器即可要求此 JSP，並執行其所包含的任何程式碼。(CVE-2017-12617)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其標題，遠端 Web 伺服器上主控的 HP System Management Homepage (SMH) 版本比 7.6.1 舊。因此會受到多個弱點影響，包括多個本機及遠端程式碼執行弱點。請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機上安裝的 Tomcat 版本比 7.0.81 舊。因此，會受到 fixed_in_apache_tomcat_7.0.81_security-7 公告中提及的多個弱點影響。

  - VirtualDirContext 與 Apache Tomcat 7.0.0 至 7.0.80 一起使用時，可藉由特製的要求繞過安全性限制，並/或檢視 VirtualDirContext 所服務資源的 JSP 原始程式碼。(CVE-2017-12616)

  - 在啟用 HTTP PUT 的情況下在 Windows 上執行 Apache Tomcat 7.0.0 至 7.0.79 版時 (例如，透過設定預設為 false 的唯讀初始化參數)，他人可以透過特製的要求，將 JSP 檔案上傳至伺服器。而後伺服器即可要求此 JSP，並執行其所包含的任何程式碼。(CVE-2017-12615)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	嚴重性
108380	Aspen < 0.22 目錄遊走	medium
108373	Zimbra 的多執行緒 HTTP 伺服器 v1.1	medium
107265	nginx < 1.8.1 / 1.9.x < 1.9.10 多個弱點	critical
107264	nginx < 0.7.67/0.8.x < 0.8.41 DoS	medium
107263	nginx < 0.7.66 / 0.8.x < 0.8.40 資訊洩漏	medium
107262	nginx < 0.7.64 / 0.8.x < 0.8.23 多個弱點	medium
107261	nginx < 0.7.63 / 0.8.x < 0.8.17 目錄遊走	medium
107228	Apache Traffic Server 5.2.0 - 5.3.2 / 6.x < 6.2.2 / 7.x < 7.1.2 TLS 交握 DoS	high
107227	Apache Traffic Server 6.x < 6.2.2 / 7.x < 7.1.2 主機標頭及分行弱點	high
106978	Apache Tomcat 9.0.0.M1 < 9.0.5 不安全的 CGI Servlet 搜尋演算法描述弱點	medium
106977	Apache Tomcat 8.5.0 < 8.5.28 多個弱點	medium
106976	Apache Tomcat 8.0.0.RC1 < 8.0.50 多個弱點	medium
106975	Apache Tomcat 7.0.0 < 7.0.85 多個弱點	medium
106843	IBM WebSphere Application Server 7.0.0.0 < 7.0.0.45 / 8.0.0.0 < 8.0.0.15 / 8.5.0.0 < 8.5.5.14 / 9.0.0.0 < 9.0.0.7 管理主控台不明不安全的安全性遠端權限提升	high
106713	Apache Tomcat 9.0.0.M22 < 9.0.2	medium
106712	Apache Tomcat 8.5.16 < 8.5.24	medium
106711	Apache Tomcat 8.0.45 < 8.0.48	medium
106710	Apache Tomcat 7.0.79 < 7.0.84	medium
106628	lighttpd HTTP 伺服器偵測	info
106627	lighttpd < 1.4.36 多個弱點	high
106626	lighttpd < 1.4.28 不安全的暫存檔案建立方式	low
106625	lighttpd < 1.4.26 or 1.5.0 拒絕服務	medium
106624	lighttpd < 1.4.19 多個弱點	medium
106623	lighttpd < 1.4.16 多個弱點	high
106609	Microsoft Windows IIS 預設索引頁面	medium
106584	VMware AirWatch Console 9.1.x < 9.1.5 / 9.2.x < 9.2.2 XSRF	high
106375	nginx HTTP 伺服器偵測	info
106374	預設 nginx HTTP 伺服器設定	medium
106349	Oracle iPlanet Web Server 7.0.x < 7.0.27 NSS 不明弱點 (2018 年 1 月 CPU)	critical
106299	Oracle Fusion Middleware Oracle HTTP Server 多個弱點 (2018 年 1 月 CPU)	critical
106232	Apache ServerTokens 資訊洩漏	medium
106231	Apache .htaccess 和 .htpasswd 洩漏	medium
106230	Apache 預設索引頁面	medium
105778	Intel Management Engine Active Management Technology (AMT) 遠端存取已啟用	info
105484	Oracle WebLogic WSAT 遠端程式碼執行	high
105292	OpenSSL 1.1.0 < 1.1.0h 多個弱點	medium
105291	OpenSSL 1.0.2 < 1.0.2n 多個弱點	medium
105006	Apache Tomcat HTTP PUT JSP 檔案上傳 RCE	high
104409	OpenSSL 1.1.0 < 1.1.0g 多個弱點	medium
104408	OpenSSL 1.0.2 < 1.0.2m 多個弱點	medium
104358	Apache Tomcat 6.0.x < 6.0.24 多種弱點	high
104357	IBM BigFix Platform 9.2.x < 9.2.12 / 9.5.x < 9.5.7 多個弱點	high
103962	Oracle GlassFish Server 3.0.1.x < 3.0.1.17 / 3.1.2.x < 3.1.2.18 (2017 年 10 月 CPU)	high
103838	Apache 2.4.x < 2.4.28 HTTP 弱點 (OptionsBleed)	high
103782	Apache Tomcat 7.0.0 < 7.0.82	high
103699	Apache Tomcat 9.0.0.M1 < 9.0.1	high
103698	Apache Tomcat 8.5.0 < 8.5.23	high
103697	Apache Tomcat 8.0.0.RC1 < 8.0.47	high
103530	HP System Management Homepage < 7.6.1 多個弱點 (HPSBMU03753)	high
103329	Apache Tomcat 7.0.0 < 7.0.81 多個弱點	high

偵測

Nessus 的 Web Servers 系列

medium

medium

critical

medium

medium

medium

medium

high

high

medium

medium

medium

medium

high

medium

medium

medium

medium

info

high

low

medium

medium

high

medium

high

info

medium

critical

critical

medium

medium

medium

info

high

medium

medium

high

medium

medium

high

high

high

high

high

high

high

high

high

high