遠端主機上安裝的 OpenSSL 為 1.0.1j 之前版本。因此，它會受到 1.0.1j 公告中所提及的多個弱點影響。

  - OpenSSL 0.9.8zc 之前版本、1.0.0o 之前的 1.0.0 版本以及 1.0.1j 之前的 1.0.1 版本未正確強制執行 no-ssl3 構建選項，因此遠端攻擊者可以透過 SSL 3.0 交握來繞過預定的存取限制。此問題與 s23_clnt.c 和 s23_srvr.c 有關。(CVE-2014-3568)

  - 在 OpenSSL 0.9.8zc 之前版本、1.0.0o 版之前的 1.0.0 版和 1.0.1j 版之前的 1.0.1 版中，t1_lib.c 中的 tls_decrypt_ticket 函式包含記憶體流失弱點，因此遠端攻擊者可以透過特製的工作階段工單來觸發整數檢查失敗，進而造成拒絕服務 (記憶體消耗)。(CVE-2014-3567)

  - 在 OpenSSL 1.0.1j 之前的 1.0.1 版本中，DTLS SRTP 延伸模組中的 d1_srtp.c 包含記憶體流失弱點，因此遠端攻擊者可以透過特製的交握訊息來造成拒絕服務 (記憶體消耗)。(CVE-2014-3513)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 為 1.0.0o 之前版本。因此，它會受到 1.0.0o 公告中所提及的多個弱點影響。

  - OpenSSL 0.9.8zc 之前版本、1.0.0o 之前的 1.0.0 版本以及 1.0.1j 之前的 1.0.1 版本未正確強制執行 no-ssl3 構建選項，因此遠端攻擊者可以透過 SSL 3.0 交握來繞過預定的存取限制。此問題與 s23_clnt.c 和 s23_srvr.c 有關。(CVE-2014-3568)

  - 在 OpenSSL 0.9.8zc 之前版本、1.0.0o 版之前的 1.0.0 版和 1.0.1j 版之前的 1.0.1 版中，t1_lib.c 中的 tls_decrypt_ticket 函式包含記憶體流失弱點，因此遠端攻擊者可以透過特製的工作階段工單來觸發整數檢查失敗，進而造成拒絕服務 (記憶體消耗)。(CVE-2014-3567)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 為 0.9.8zc 之前版本。因此，它會受到 0.9.8zc 公告中提及的多個弱點影響。

  - OpenSSL 0.9.8zc 之前版本、1.0.0o 之前的 1.0.0 版本以及 1.0.1j 之前的 1.0.1 版本未正確強制執行 no-ssl3 構建選項，因此遠端攻擊者可以透過 SSL 3.0 交握來繞過預定的存取限制。此問題與 s23_clnt.c 和 s23_srvr.c 有關。(CVE-2014-3568)

  - 在 OpenSSL 0.9.8zc 之前版本、1.0.0o 版之前的 1.0.0 版和 1.0.1j 版之前的 1.0.1 版中，t1_lib.c 中的 tls_decrypt_ticket 函式包含記憶體流失弱點，因此遠端攻擊者可以透過特製的工作階段工單來觸發整數檢查失敗，進而造成拒絕服務 (記憶體消耗)。(CVE-2014-3567)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據伺服器回應標頭中的自我報告版本，在遠端主機上安裝的 nginx 版本為 0.5.6 或更高版本、比 1.6.2 舊的 1.6.x 版，或比 1.7.5 舊的 1.7.x 版。因此會受到一個 SSL 工作階段或 TLS 工作階段票證金鑰處理錯誤的影響。「event/ngx_event_openssl.c」中存在一個瑕疵，允許遠端攻擊者取得敏感資訊或控制工作階段。

請注意，受此問題影響的只有在多個「server{}」組態中共用相同「ssl_session_cache」或「ssl_session_ticket_key」值的伺服器。

遠端 HP Officejet 印表機受到安全性繞過弱點影響。隨附的 OpenSSL 程式庫在交握處理程序中有一個安全性繞過瑕疵。遠端攻擊者可以使用特製的交握，強制使用弱式金鑰產製原料。這可讓攻擊者用來發動攔截式攻擊。

根據 Web 伺服器的標題，遠端 Web 伺服器上託管的 HP System Management Homepage (SMH) 版本受到以下弱點影響：

- 內含的 cURL 中存有瑕疵，當「CURLOPT_SSL_VERIFYPEER」上的設定停用時會停用「CURLOPT_SSLVERIFYHOST」檢查。這可導致遠端攻擊者停用 SSL 憑證主機名稱檢查。(CVE-2013-4545)

- 內含的 PHP「openssl_x509_parse」函式中存有瑕疵，這是因使用者輸入內容處理不當所致。
 遠端攻擊者可使用特製的憑證惡意利用此瑕疵，導致拒絕服務或執行任意程式碼。(CVE-2013-6420)

- 內含的 cURL 中存有瑕疵，因為數位簽章驗證已停用，而 CN 和 SAN 名稱欄位的驗證檢查被系統繞過。遠端攻擊者可惡意利用此瑕疵，進而假冒伺服器或執行攔截式攻擊。
 (CVE-2013-6422)

- 內含的 PHP「ext/date/lib/parse_iso_intervals.c」指令碼內的掃描函式中存有瑕疵，使用者輸入內容處理不當。這可導致遠端攻擊者使用堆積式緩衝區溢位引發拒絕服務。(CVE-2013-6712)

- 存在一個不明跨網站指令碼瑕疵，可導致遠端攻擊者使用特製的要求，在瀏覽器/伺服器信任關係內執行任意程式碼。(CVE-2014-2640)

- 存在一個不明的跨網站要求偽造弱點。(CVE-2014-2641)

- 存在一個不明弱點，可導致遠端攻擊者執行點擊劫持攻擊。
 (CVE-2014-2642)

根據其標題，遠端主機上安裝的 Oracle Fusion Middleware HTTP Server 版本受到 Enterprise Manager for Fusion Middleware 元件中，「使用者管理頁面」上的一個不明瑕疵影響。遠端攻擊者可惡意利用此瑕疵，影響主機的完整性，或存取未經授權的資訊。

遠端主機上執行的 GlassFish Server 版本受到與 COBRORB 子元件相關的不明弱點影響，可允許遠端攻擊者造成失去可用性。

根據其標題，遠端主機上執行的 Apache 2.2.x 版本比 2.2.28 舊。因此，該應用程式受到以下弱點影響：

  -「mod_headers」模組中存在缺陷，可允許遠端攻擊者插入任意標頭。
    具體方法是在使用區塊傳輸編碼傳送的資料結尾部分放置標頭。
    (CVE-2013-5704)。

  - 處理高度壓縮的內文時，模組「mod_deflate」中存在缺陷。遠端攻擊者可使用特別構建的要求利用此缺陷，透過消耗記憶體和 CPU 資源造成拒絕服務。(CVE-2014-0118)

  - 模組「mod_status」包含可能會在處理計分板時觸發的爭用情形。遠端攻擊者可利用此弱點，造成拒絕服務、執行任意程式碼或取得敏感憑證資訊。(CVE-2014-0226)

  -「mod_cgid」模組缺少逾時機制。遠端攻擊者可使用特別構建的要求利用此缺陷，使子程序無限留存，最終填滿計分板，進而造成拒絕服務。(CVE-2014-0231)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據其自我報告的版本號碼，遠端主機上執行的 Apache Tomcat 伺服器是 8.0.11 之前的 8.0.x 版。因此，會受到隨附 OpenSSL 版本中的多個弱點影響：

- 函式「ssl3_read_bytes」中存在錯誤，可允許將資料插入其他工作階段或允許拒絕服務攻擊。請注意，只有當啟用了「SSL_MODE_RELEASE_BUFFERS」時，此問題才可能遭到惡意利用。(CVE-2010-5298)

- 存在一個與無效 DTLS 片段處理相關的緩衝區溢位錯誤，可導致任意程式碼執行。請注意，只有在用作 DTLS 用戶端或伺服器時此問題才會影響 OpenSSL。
 (CVE-2014-0195)

- 函式「do_ssl3_write」中存在錯誤，可能允許系統對 NULL 指標解除參照，進而導致拒絕服務攻擊。請注意，只有當啟用了「SSL_MODE_RELEASE_BUFFERS」時，此問題才可能遭到惡意利用。(CVE-2014-0198)

- 存在與 DTLS 交握處理相關的錯誤，可導致拒絕服務攻擊。請注意，只有在用作 DTLS 用戶端時此問題才會影響 OpenSSL。
 (CVE-2014-0221)

- 存在不明錯誤，可允許攻擊者使用弱式金鑰產製原料，進而引發簡化攔截式攻擊。(CVE-2014-0224)

- 存在與匿名 ECDH 加密套件相關的不明錯誤，可能導致拒絕服務攻擊。請注意，此問題只會影響 OpenSSL TLS 用戶端。(CVE-2014-3470)

請注意，Nessus 並未嘗試惡意利用這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機上安裝的 Tomcat 版本比 7.0.55 舊。因此，會受到 fixed_in_apache_tomcat_7.0.55_security-7 公告中提及的多個弱點影響。

  在 Apache Tomcat 6.0.42 之前的 6.x、7.0.55 之前的 7.x 與 8.0.9 之前的 8.x 版中，java/org/apache/coyote/http11/filters/ChunkedInputFilter.java 無法正確處理在發生錯誤之後繼續讀取資料的嘗試，這允許遠端攻擊者透過串流具有格式錯誤之區塊傳輸程式碼的資料，發動 HTTP 要求走私攻擊，或造成拒絕服務 (資源消耗)。
    (CVE-2014-0227)

  - 在 6.0.44 之前的 6.x 版、7.0.55 之前的 7.x 版和 8.0.9 之前的 8.x 版的 Apache Tomcat 在完成讀取整個要求內文之前，未正確處理發生 HTTP 回應的情況，其允許遠端攻擊者透過一連串中止上傳嘗試來造成拒絕服務 (執行緒消耗)。
    (CVE-2014-0230)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機目前執行的 IBM WebSphere Application Server 8.5 比 Fix Pack 8.5.5.3 版舊。因此受到以下弱點影響：

- 橢圓曲線數位簽章演算法實作中存有一個瑕疵，其可允許惡意處理程序恢復 ECDSA nonce。
 (CVE-2014-0076、PI19700)

- 當以未指派的值記錄 cookie 時，在 'mod_log_config' 中存有拒絕服務瑕疵。遠端攻擊者若使用特製的要求，可能導致程式損毀。(CVE-2014-0098、PI13028)

- 具有 Reverse Proxy 元件的 IBM Security Access Manager for Web 內存有拒絕服務瑕疵。
 這可能會允許遠端攻擊者使用特製 TLS 流量，使系統上的應用程式沒有反應。(CVE-2014-0963、PI17025)

- 當處理 SOAP 回應時，存有資訊洩漏瑕疵。它可使遠端攻擊者獲得敏感資訊的存取權。
 (CVE-2014-0965、PI11434)

- 存在資訊洩漏瑕疵。使用特製 URL 的遠端攻擊者可能取得潛在敏感資訊的存取權。
 (CVE-2014-3022、PI09594)

- 虛擬成員管理員 SPI 系統管理工作「addFileRegistryAccount」中存在一個會導致建立不當帳戶的瑕疵。這允許遠端攻擊者繞過安全性檢查。(CVE-2014-3070、PI16765)

- 存在一個不明的資訊洩漏瑕疵。這允許遠端攻擊者取得敏感資訊。(CVE-2014-3083、PI17768)

-「share/classes/sun/security/rsa/RSACore.java」類別存在一個與「RSA 繫結」相關的資訊洩漏瑕疵，此瑕疵是在使用私密金鑰和度量時間差的作業期間所造成。這允許遠端攻擊者取得已用金鑰的相關資訊。(CVE-2014-4244)

-「share/classes/sun/security/util/KeyUtil.java」類別的「validateDHPublicKey」函式中存在一個瑕疵，在驗證 Diffie-Hellman 公開金鑰參數期間，會觸發這個瑕疵。這允許遠端攻擊者復原金鑰。(CVE-2014-4263)

- IPv4 Dispatcher 元件的負載平衡器存在一個瑕疵。這允許使遠端攻擊者造成負載平衡器損毀。(CVE-2014-4764、PI21189)

- 安裝功能時，Liberty 存放庫存在一個瑕疵。這允許經過驗證的遠端攻擊者安裝並執行任意程式碼。
 (CVE-2014-4767、PI21284)

遠端主機上安裝的 Pivotal Web Server (之前稱為 VMware vFabric Web Server) 為 5.4.1 以前的 5.x 版。因此，會受到隨附 OpenSSL 版本中的多個弱點影響：

- 函式「ssl3_read_bytes」中存在錯誤，允許將資料插入其他工作階段或允許拒絕服務攻擊。請注意，只有當啟用了「SSL_MODE_RELEASE_BUFFERS」時，此問題才可能遭惡意利用。(CVE-2010-5298)

- 函式「do_ssl3_write」中存在錯誤，允許系統對 NULL 指標解除參照，可導致拒絕服務攻擊。請注意，只有當啟用了「SSL_MODE_RELEASE_BUFFERS」時，此問題才可能遭惡意利用。(CVE-2014-0198)

- 處理 ChangeCipherSpec 訊息時存在錯誤，其允許使用弱式金鑰產製原料。
 這會允許完成簡化攔截式攻擊。(CVE-2014-0224)

- 函式「dtls1_get_message_fragment」中存在與匿名 ECDH 加密套件相關的錯誤。這可導致拒絕服務攻擊。請注意，此問題只會影響 OpenSSL TLS 用戶端。(CVE-2014-3470)

請注意，Nessus 並未實際測試這些問題，而是僅依據伺服器標題上的版本。

可從 web 伺服器的標題擷取 Pivotal Web Server (先前稱為 VMware vFabric Web Server) 的版本。

根據伺服器回應標頭中的自我報告版本，在遠端主機上安裝的 nginx 版本為 1.5.6 或更高版本、比 1.6.1 舊的 1.6.x 版，或比 1.7.4 舊的 1.7.x 版。因此受到一個命令插入弱點影響。

在 'src/mail/ngx_mail_smtp_handler.c' 檔案的 'ngx_mail_smtp_starttls' 函式中存在一個瑕疵，其對 STARTTLS 命令的輸入未得到正確清理。這可允許位於需要權限之網路位置的遠端攻擊者透過將命令插入到 SSL 工作階段中來取得敏感資訊。

請注意，只有在 nginx 作為 SMTP Proxy 使用時，才能惡意利用此問題。

遠端主機上安裝的 OpenSSL 為 1.0.1i 之前版本。因此，它會受到 1.0.1i 公告中所提及的多個弱點影響。

  - 在 OpenSSL 1.0.1i 版之前的 1.0.1 版本中，t1_lib.c 的 ssl_set_client_disabled 函式允許遠端 SSL 伺服器透過包含 SRP 加密套件但沒有該加密套件與用戶端之必要交涉的 ServerHello 訊息，來造成拒絕服務 (NULL 指標解除參照和用戶端應用程式損毀)。(CVE-2014-5139)

  - 在 OpenSSL 1.0.1i 之前的 1.0.1 版本中，SRP 實作中的 crypto/srp/srp_lib.c 包含多個緩衝區溢位弱點，因此遠端攻擊者可以透過無效的 SRP (1) g、(2) A 或 (3) B 參數來造成拒絕服務 (應用程式損毀)，也可能造成其他不明影響。(CVE-2014-3512)

  - 在 1.0.1i 版之前的 OpenSSL 1.0.1 中，s23_srvr.c 的 ssl23_get_client_hello 函式允許攔截式攻擊者在支援新版 TLS 的用戶端和伺服器之間的通訊中，觸發 ClientHello 訊息分割，進而強制使用 TLS 1.0；此情形與「通訊協定降級」問題有關。
    (CVE-2014-3511)

  - 在 OpenSSL 0.9.8zb 版之前的 0.9.8 版、1.0.0n 之前的 1.0.0 以及 1.0.1i 之前的 1.0.1 版本中，s3_clnt.c 中的 ssl3_send_client_key_exchange 函式允許遠端 DTLS 伺服器透過特製的交握訊息，並搭配 (1) 匿名 DH 或 (2) 匿名 ECDH 加密套件，來造成拒絕服務 (NULL 指標解除參照和用戶端應用程式損毀)。(CVE-2014-3510)

  - 在 OpenSSL 1.0.0n 之前的 1.0.0 版本和 1.0.1i 之前的 1.0.1 版本中，t1_lib.c 中的 ssl_parse_serverhello_tlsext 函式包含爭用條件，當使用多執行緒和工作階段恢復時，允許遠端 SSL 伺服器透過傳送 Elliptic Curve (EC) 支援的點格式延伸資料來造成拒絕服務 (記憶體覆寫和用戶端應用程式損毀)，也可能造成其他不明影響。(CVE-2014-3509)

  - 在 OpenSSL 0.9.8zb 之前的 0.9.8 版、1.0.0n 之前的 1.0.0 版和 1.0.1i 之前的 1.0.1 版中，使用美化列印時，crypto/objects/obj_dat.c 的 OBJ_obj2txt 函式並未確認 ‘\0’ 字元存在與否，進而允許內容相依的攻擊者讀取 X509_name_oneline、X509_name_print_ex 和其他不明函式的輸出，藉此從處理程序堆疊記憶體取得敏感資訊。
    (CVE-2014-3508)

  - 在 OpenSSL 0.9.8zb 之前的 0.9.8 版本、1.0.0n 之前的 1.0.0 版本以及 1.0.1i 之前的 1.0.1 版本中，DTLS 實作中的 d1_both.c 包含記憶體流失弱點，因此遠端攻擊者可以透過零長度 DTLS 片段來觸發程式不當處理特定插入函式的傳回值，進而造成拒絕服務 (記憶體消耗)。(CVE-2014-3507)

  - 在 OpenSSL 0.9.8zb 之前的 0.9.8 版本、1.0.0n 之前的 1.0.0 版本以及 1.0.1i 之前的 1.0.1 版本中，DTLS 實作中的 d1_both.c 允許遠端攻擊者透過特製的 DTLS 交握訊息來觸發對應於較大長度值的記憶體配置，進而造成拒絕服務 (記憶體消耗)。(CVE-2014-3506)

  - 在 OpenSSL 0.9.8zb 之前的 0.9.8 版本、1.0.0n 之前的 1.0.0 版本以及 1.0.1i 之前的 1.0.1 版本中，DTLS 實作中的 d1_both.c 包含重複釋放弱點，因此遠端攻擊者可以透過特製的 DTLS 封包來觸發錯誤條件，進而造成拒絕服務 (應用程式損毀)。(CVE-2014-3505)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 為 1.0.0n 之前版本。因此，它會受到 1.0.0n 公告中所提及的多個弱點影響。

  - 在 OpenSSL 0.9.8zb 版之前的 0.9.8 版、1.0.0n 之前的 1.0.0 以及 1.0.1i 之前的 1.0.1 版本中，s3_clnt.c 中的 ssl3_send_client_key_exchange 函式允許遠端 DTLS 伺服器透過特製的交握訊息，並搭配 (1) 匿名 DH 或 (2) 匿名 ECDH 加密套件，來造成拒絕服務 (NULL 指標解除參照和用戶端應用程式損毀)。(CVE-2014-3510)

  - 在 OpenSSL 1.0.0n 之前的 1.0.0 版本和 1.0.1i 之前的 1.0.1 版本中，t1_lib.c 中的 ssl_parse_serverhello_tlsext 函式包含爭用條件，當使用多執行緒和工作階段恢復時，允許遠端 SSL 伺服器透過傳送 Elliptic Curve (EC) 支援的點格式延伸資料來造成拒絕服務 (記憶體覆寫和用戶端應用程式損毀)，也可能造成其他不明影響。(CVE-2014-3509)

  - 在 OpenSSL 0.9.8zb 之前的 0.9.8 版、1.0.0n 之前的 1.0.0 版和 1.0.1i 之前的 1.0.1 版中，使用美化列印時，crypto/objects/obj_dat.c 的 OBJ_obj2txt 函式並未確認 ‘\0’ 字元存在與否，進而允許內容相依的攻擊者讀取 X509_name_oneline、X509_name_print_ex 和其他不明函式的輸出，藉此從處理程序堆疊記憶體取得敏感資訊。
    (CVE-2014-3508)

  - 在 OpenSSL 0.9.8zb 之前的 0.9.8 版本、1.0.0n 之前的 1.0.0 版本以及 1.0.1i 之前的 1.0.1 版本中，DTLS 實作中的 d1_both.c 包含記憶體流失弱點，因此遠端攻擊者可以透過零長度 DTLS 片段來觸發程式不當處理特定插入函式的傳回值，進而造成拒絕服務 (記憶體消耗)。(CVE-2014-3507)

  - 在 OpenSSL 0.9.8zb 之前的 0.9.8 版本、1.0.0n 之前的 1.0.0 版本以及 1.0.1i 之前的 1.0.1 版本中，DTLS 實作中的 d1_both.c 允許遠端攻擊者透過特製的 DTLS 交握訊息來觸發對應於較大長度值的記憶體配置，進而造成拒絕服務 (記憶體消耗)。(CVE-2014-3506)

  - 在 OpenSSL 0.9.8zb 之前的 0.9.8 版本、1.0.0n 之前的 1.0.0 版本以及 1.0.1i 之前的 1.0.1 版本中，DTLS 實作中的 d1_both.c 包含重複釋放弱點，因此遠端攻擊者可以透過特製的 DTLS 封包來觸發錯誤條件，進而造成拒絕服務 (應用程式損毀)。(CVE-2014-3505)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 為 0.9.8zb 之前版本。因此，它會受到 0.9.8zb 公告中提及的多個弱點影響。

  - 在 OpenSSL 0.9.8zb 版之前的 0.9.8 版、1.0.0n 之前的 1.0.0 以及 1.0.1i 之前的 1.0.1 版本中，s3_clnt.c 中的 ssl3_send_client_key_exchange 函式允許遠端 DTLS 伺服器透過特製的交握訊息，並搭配 (1) 匿名 DH 或 (2) 匿名 ECDH 加密套件，來造成拒絕服務 (NULL 指標解除參照和用戶端應用程式損毀)。(CVE-2014-3510)

  - 在 OpenSSL 0.9.8zb 之前的 0.9.8 版、1.0.0n 之前的 1.0.0 版和 1.0.1i 之前的 1.0.1 版中，使用美化列印時，crypto/objects/obj_dat.c 的 OBJ_obj2txt 函式並未確認 ‘\0’ 字元存在與否，進而允許內容相依的攻擊者讀取 X509_name_oneline、X509_name_print_ex 和其他不明函式的輸出，藉此從處理程序堆疊記憶體取得敏感資訊。
    (CVE-2014-3508)

  - 在 OpenSSL 0.9.8zb 之前的 0.9.8 版本、1.0.0n 之前的 1.0.0 版本以及 1.0.1i 之前的 1.0.1 版本中，DTLS 實作中的 d1_both.c 包含記憶體流失弱點，因此遠端攻擊者可以透過零長度 DTLS 片段來觸發程式不當處理特定插入函式的傳回值，進而造成拒絕服務 (記憶體消耗)。(CVE-2014-3507)

  - 在 OpenSSL 0.9.8zb 之前的 0.9.8 版本、1.0.0n 之前的 1.0.0 版本以及 1.0.1i 之前的 1.0.1 版本中，DTLS 實作中的 d1_both.c 允許遠端攻擊者透過特製的 DTLS 交握訊息來觸發對應於較大長度值的記憶體配置，進而造成拒絕服務 (記憶體消耗)。(CVE-2014-3506)

  - 在 OpenSSL 0.9.8zb 之前的 0.9.8 版本、1.0.0n 之前的 1.0.0 版本以及 1.0.1i 之前的 1.0.1 版本中，DTLS 實作中的 d1_both.c 包含重複釋放弱點，因此遠端攻擊者可以透過特製的 DTLS 封包來觸發錯誤條件，進而造成拒絕服務 (應用程式損毀)。(CVE-2014-3505)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的是 Fix Pack 9 之前的 IBM WebSphere Application Server 8.0。因此受到以下弱點影響：

- 管理主控台中存有跨網站指令碼瑕疵，其中的使用者輸入並未正確驗證。這可能會讓具有特製要求的遠端攻擊者在瀏覽器/伺服器信任關係中執行任意指令碼。
 (CVE-2013-6323、PI04777 和 PI04880)

- 當在 SSL/TLS 交握期間處理 SSLv2 恢復時，Global Security Kit 內存在一個拒絕服務瑕疵。這可能會使遠端攻擊者造成程式損毀。(CVE-2013-6329、PI05309)

- 當使用附加元件時，在具有 mod_dav 模組的 HTTP 伺服器中存在一個緩衝區溢位瑕疵。這可能會使遠端攻擊者引發緩衝區溢位與拒絕服務。(CVE-2013-6438、PI09345)

- 在未正確驗證使用者輸入的 OAuth 內存在一個跨網站指令碼瑕疵。這可能會讓具有特製要求的遠端攻擊者在瀏覽器/伺服器信任關係中執行任意指令碼。(CVE-2013-6738、PI05661)

- 在 SSL/TLS 連線起始期間處理 X.509 憑證鏈時，Global Security Kit 中存在一個拒絕服務瑕疵。使用格式有誤之憑證鏈的遠端攻擊者可能透過懸置 Global Security Kit 造成用戶端或伺服器當機。(CVE-2013-6747、PI09443)

- 當針對多部分要求剖析 content-type 標頭時，在 Apache Commons FileUpload 內存在一個拒絕服務瑕疵。遠端攻擊者若使用特製的要求，可能導致程式損毀。
 (CVE-2014-0050、PI12648、PI12926 和 PI13162)

- 橢圓曲線數位簽章演算法實作中存有一個瑕疵，其可允許惡意處理程序恢復 ECDSA nonce。
 (CVE-2014-0076、PI19700)

- 當以未指派的值記錄 cookie 時，在 'mod_log_config' 中存有拒絕服務瑕疵。遠端攻擊者若使用特製的要求，可能導致程式損毀。(CVE-2014-0098、PI13028)

- 在具有 ‘PKCS#1’ 取消填補的 ‘sun.security.rsa.RSAPadding’ 中存在一個資訊洩漏瑕疵。
 這可能允許遠端攻擊者取得預定受到加密保護的定時資訊。
 (CVE-2014-0453)

-「com.sun.jndi.dns.DnsClient」中存在一個與查詢 ID 隨機化相關的瑕疵。這可讓遠端攻擊者進行偽造攻擊。
 (CVE-2014-0460)

- Full 和 Liberty 設定檔中存在一個瑕疵。使用特製要求的遠端攻擊者可取得任意檔案的存取權。(CVE-2014-0823、PI05324)

- 管理主控台中存在一個資訊洩漏瑕疵。這可允許使用特製要求的網路攻擊者取得存取權限。(CVE-2014-0857、PI07808)

- 在設定為重試失敗的 POST 要求之伺服器上的 web 伺服器外掛程式中，存在一個拒絕服務瑕疵。這可能會使遠端攻擊者造成應用程式損毀。
 (CVE-2014-0859、PI08892)

- 在 Proxy 和 ODR 伺服器中存在一個資訊洩漏瑕疵。這可能會允許使用特製要求的遠端攻擊者取得潛在敏感資訊的存取權。(CVE-2014-0891、PI09786)

- 具有 Reverse Proxy 元件的 IBM Security Access Manager for Web 內存有拒絕服務瑕疵。
 這可能會允許遠端攻擊者使用特製 TLS 流量，使系統上的應用程式沒有反應。(CVE-2014-0963、PI17025)

- 當處理 SOAP 回應時，存有資訊洩漏瑕疵。它可使遠端攻擊者獲得敏感資訊的存取權。
 (CVE-2014-0965、PI11434)

- 存在資訊洩漏瑕疵。使用特製 URL 的遠端攻擊者可能取得潛在敏感資訊的存取權。
 (CVE-2014-3022、PI09594)

遠端主機上執行的是 Fix Pack 33 之前的 IBM WebSphere Application Server 7.0。因此受到以下弱點影響：

- 管理主控台中存有跨網站指令碼瑕疵，其中的使用者輸入並未正確驗證。這可能會讓具有特製要求的遠端攻擊者在瀏覽器/伺服器信任關係中執行任意指令碼。
 (CVE-2013-6323、PI04777 和 PI04880)

- 當在 SSL/TLS 交握期間處理 SSLv2 恢復時，Global Security Kit 內存在一個拒絕服務瑕疵。這可能會使遠端攻擊者造成程式損毀。(CVE-2013-6329、PI05309)

- 當使用附加元件時，在具有 mod_dav 模組的 HTTP 伺服器中存在一個緩衝區溢位瑕疵。這可能會使遠端攻擊者引發緩衝區溢位與拒絕服務。(CVE-2013-6438、PI09345)

- 在未正確驗證使用者輸入的 OAuth 內存在一個跨網站指令碼瑕疵。這可能會讓具有特製要求的遠端攻擊者在瀏覽器/伺服器信任關係中執行任意指令碼。(CVE-2013-6738、PI05661)

- 在 SSL/TLS 連線起始期間處理 X.509 憑證鏈時，Global Security Kit 中存在一個拒絕服務瑕疵。使用格式有誤之憑證鏈的遠端攻擊者可能透過懸置 Global Security Kit 造成用戶端或伺服器當機。(CVE-2013-6747、PI09443)

- 當針對多部分要求剖析 content-type 標頭時，在 Apache Commons FileUpload 內存在一個拒絕服務瑕疵。遠端攻擊者若使用特製的要求，可能導致程式損毀。
 (CVE-2014-0050、PI12648、PI12926 和 PI13162)

- 當以未指派的值記錄 cookie 時，在 'mod_log_config' 中存有拒絕服務瑕疵。遠端攻擊者若使用特製的要求，可能導致程式損毀。(CVE-2014-0098、PI13028)

- Apache Struts 中存在一個遠端程式碼執行瑕疵。
 限制類別載入器屬性的設定失敗可允許遠端攻擊者執行任意指令碼。(CVE-2014-0114、PI17190)

- 在具有 ‘PKCS#1’ 取消填補的 ‘sun.security.rsa.RSAPadding’ 中存在一個資訊洩漏瑕疵。
 這可能允許遠端攻擊者取得預定受到加密保護的定時資訊。
 (CVE-2014-0453)

- ‘com.sun.jndi.dns.DnsClient’ 中存在一個與查詢 ID 隨機化相關的瑕疵。這可讓遠端攻擊者進行偽造攻擊。
 (CVE-2014-0460)

- 在設定為重試失敗的 POST 要求之伺服器上的 web 伺服器外掛程式中，存在一個拒絕服務瑕疵。這可能會使遠端攻擊者造成應用程式損毀。
 (CVE-2014-0859、PI08892)

- ‘IBMJCE’ 和 ‘IBMSecureRandom’ 密碼編譯提供者存在一個瑕疵，這是由於以可預測方式產生數字所導致。這可允許遠端攻擊者輕易猜測亂數產生器的輸出。(CVE-2014-0878)

- 在 Proxy 和 ODR 伺服器中存在一個資訊洩漏瑕疵。這可能會允許使用特製要求的遠端攻擊者取得潛在敏感資訊的存取權。(CVE-2014-0891、PI09786)

- 具有 Reverse Proxy 元件的 IBM Security Access Manager for Web 內存有拒絕服務瑕疵。
 這可能會允許遠端攻擊者使用特製 TLS 流量，使系統上的應用程式沒有反應。(CVE-2014-0963、PI17025)

- 當處理 SOAP 回應時，存有資訊洩漏瑕疵。它可使遠端攻擊者獲得敏感資訊的存取權。
 (CVE-2014-0965、PI11434)

- 存在資訊洩漏瑕疵。使用特製 URL 的遠端攻擊者可能取得潛在敏感資訊的存取權。
 (CVE-2014-3022、PI09594)

根據其標題，遠端主機上執行的 Apache 2.4.x 為 2.4.6 版。因此會受到 mod_cache 模組中的一個瑕疵影響，該瑕疵與 NULL 指標解除參照有關。攻擊者可透過特製要求來造成拒絕服務。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

根據其標題，遠端主機上執行的 Apache 2.4.x 版本比 2.4.10 舊。因此，該應用程式受到以下弱點影響：

  - 'mod_proxy' 模組中存在一個瑕疵，可允許攻擊者傳送特製要求至設定為反向代理伺服器的伺服器，進而可能造成子處理程序損毀。此缺陷可能導致拒絕服務攻擊。(CVE-2014-0117)

  - 當設定要求內文解壓縮時，'mod_deflate' 模組中存在一個瑕疵。遠端攻擊者可利用此缺陷造成伺服器消耗大量資源。(CVE-2014-0118)

  - 當有公開可存取的伺服器狀態頁面時，'mod_status' 模組中存在一個瑕疵。
    攻擊者可利用此缺陷傳送專為造成堆積緩衝區溢位而設計的特別構建要求。(CVE-2014-0226)

  - 'mod_cgid' 模組中存在一個瑕疵，其可操控未消耗標準輸入的 CGI 指令碼，造成子處理程序懸置。遠端攻擊者有可能濫用此瑕疵而造成拒絕服務。
    (CVE-2014-0231)

  - 使用預設 AcceptFilter 時，2.4.1 至 2.4.9 版本的 WinNT MPM 中存在瑕疵。攻擊者利用特別構建的要求造成應用程式中記憶體洩漏，最終可能導致拒絕服務攻擊。(CVE-2014-3523)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機上安裝的 Oracle HTTP Server 版本受到多個與 Oracle WebLogic 外掛程式相關的弱點影響。

根據其自我報告的版本，在遠端主機上執行的 Oracle iPlanet Web Server (之前稱為 Sun Java System Web Server) 是比 7.0.20 舊的 7.0.x 版。因此會受到 Network Security Services (NSS) 中的下列弱點影響：

  - NSS 實作未確保資料結構經過初始化，其可導致拒絕服務或洩漏敏感資訊。
    (CVE-2013-1739)

  - 檔案 sslsecur.c 的 ssl_Do1stHandshake() 函式中存在一個錯誤，此錯誤是因為在啟用 TLS False Start 功能的狀態下，從 PR_Recv 傳回未加密的資料所導致。攔截式攻擊者可加以惡意利用，透過任意 X.509 憑證，在特定交握流量期間偽造 SSL 伺服器。
    (CVE-2013-1740)

  - 存在一個整數溢位情形，其與處理超過「PRUint32」值大小上限一半的輸入值有關。遠端攻擊者可加以惡意利用，造成拒絕服務或可能造成其他影響。
    (CVE-2013-1741)

  - 在檔案 ssl3con.c 的函式 Null_Cipher() 中，存在一個與處理無效交握封包相關的錯誤。遠端攻擊者可透過特別建構的要求，利用此錯誤執行任意程式碼。(CVE-2013-5605)

  - 在檔案 certvfy.c 的函式 CERT_VerifyCert() 中，存在一個因使用不相容的金鑰處理受信任之憑證而導致的錯誤。遠端攻擊者可透過建構的要求，利用此錯誤使無效憑證被視為有效。(CVE-2013-5606)

  - libssl 中存在一個在工作階段票證處理期間發生的爭用情形。遠端攻擊者可利用此問題造成拒絕服務。(CVE-2014-1490)

  - 網路安全性服務 (NSS) 未正確限制 Diffie-Hellman 金鑰交換中的公共值，導致遠端攻擊者繞過密碼編譯保護機制。(CVE-2014-1491)

  - Network Security (NSS) 程式庫中存在問題，這是因不當處理萬用字元憑證的 IDNA 網域前置詞所致。攔截式攻擊者可透過特別建構的憑證，利用此問題偽造 SSL 伺服器。(CVE-2014-1492)

遠端主機上執行的 GlassFish Server 版本受到以下元件中多個弱點影響：

  - 網路安全性服務 (NSS) 實作不會確保資料結構經過初始化，這可導致拒絕服務或洩漏敏感資訊。(CVE-2013-1739)

  - 網路安全性服務 (NSS) 實作不會正常處理 TLS False Start 功能，並且可導致攔截式攻擊。
    (CVE-2013-1740)

  - Network Security Services (NSS) 包含一個整數溢位瑕疵，其允許遠端攻擊者造成拒絕服務。(CVE-2013-1741)

  - 在檔案「ssl/ssl3con.c」的函式「Null_Cipher」中，存在一個與處理無效交握封包相關的錯誤，可導致任意程式碼執行。(CVE-2013-5605)

  - 檔案「lib/certhigh/certvfy.c」的函式「CERT_VerifyCert」中存在一個錯誤，可導致系統將無效的憑證視為有效。
    (CVE-2013-5606)

  - Oracle Mojarra 包含一個跨網站指令碼弱點，這是因為不當清理使用者提供的輸入所導致。這會導致攻擊者在受影響網站的環境中執行任意程式碼。(CVE-2013-5855)

  - 網路安全性服務 (NSS) 的 libssl 中含有工作階段票證處理期間發生的爭用情形。遠端攻擊者可惡意利用此瑕疵，進而引發拒絕服務。(CVE-2014-1490)

  - 網路安全性服務 (NSS) 未正確限制 Diffie-Hellman 金鑰交換中的公共值，導致遠端攻擊者繞過密碼編譯保護機制。(CVE-2014-1491)

  - Network Security (NSS) 程式庫中存在問題，這是因不當處理萬用字元憑證的 IDNA 網域前置詞所致。此問題允許攻擊者發動攔截式攻擊。(CVE-2014-1492)

根據其版本號碼，遠端 Web 伺服器上主控的 Splunk Enterprise 為 4.3.x 版、5.0.9 之前的 5.0.x 版、6.0.5 之前的 6.0.x 版或 6.1.2 之前的 6.1.x 版。因此會受到多個 OpenSSL 相關弱點影響：

- 存在一個不明錯誤，可允許攻擊者使用弱式金鑰產製原料，進而導致簡化攔截式攻擊。(CVE-2014-0224)

- 存在一個與匿名 ECDH 加密套件相關的不明錯誤，可導致拒絕服務攻擊。請注意，此問題只會影響 OpenSSL TLS 用戶端。
 (CVE-2014-3470)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據 web 伺服器標題，遠端主機上執行的 mod_wsgi 版本比 4.2.4 舊。因此會受到權限提升弱點影響。

此問題會在嘗試降低群組權限時觸發，且會發生 'setgid'、'setgroups' 和 'initgroups' 的錯誤。錯誤已報告，但 mod_wsgi 會繼續以 root 群組權限執行，而不是如預期般降低權限。本機攻擊者可能取得提升的權限。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據 Web 伺服器標題，遠端主機上執行的 mod_wsgi 版本比 3.5 舊。因此會受到權限提升弱點影響。

該問題之所以發生，是因為不當處理 ‘setuid’ 傳回的錯誤碼所導致。此瑕疵會允許本機攻擊者操控使用者執行的處理程序數，藉此在程序模式處理程序分支期間影響 ‘setuid’ 的結果。這可允許攻擊者取得提升的權限。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據 Web 伺服器的標題，遠端 Web 伺服器上託管的 HP System Management Homepage (SMH) 版本中，OpenSSL 程式庫實作受到以下弱點影響：

- ssl3_read_bytes() 函式中存在一個錯誤，允許攻擊者將資料插入其他工作階段。請注意，只有當啟用了「SSL_MODE_RELEASE_BUFFERS」時，此問題才可能遭惡意利用。(CVE-2010-5298)

- 存在一個與橢圓曲線數位簽章演算法 (ECDSA) 實作相關的錯誤，可能允許透過「FLUSH+RELOAD」快取側通道攻擊暫時洩漏。(CVE-2014-0076)

- 存在一個與無效 DTLS 片段處理相關的緩衝區溢位情形，可導致任意程式碼執行。請注意，只有在用作 DTLS 用戶端或伺服器時此問題才會影響 OpenSSL。(CVE-2014-0195)

- do_ssl3_write() 函式中存在一個錯誤，其允許 NULL 指標遭到解除參照，進而導致拒絕服務情形。請注意，只有當啟用了「SSL_MODE_RELEASE_BUFFERS」時，此問題才可能遭到惡意利用。(CVE-2014-0198)

- 存在與 DTLS 交握處理相關的錯誤，可導致拒絕服務攻擊。請注意，只有在用作 DTLS 用戶端時此問題才會影響 OpenSSL。
 (CVE-2014-0221)

- 存在不明錯誤，可允許攻擊者使用弱式金鑰產製原料，進而引發簡化攔截式攻擊。(CVE-2014-0224)

- 存在一個與匿名 ECDH 加密套件相關的不明錯誤，可導致拒絕服務攻擊。請注意，此問題只會影響 OpenSSL TLS 用戶端。
 (CVE-2014-3470)

根據其自我報告的版本號碼，遠端主機上安裝的 Web 伺服器已轉換至其生命週期中的延伸支援階段。繼續存取新的安全性更新需要支付額外費用和/或變更套件管理工具的組態。否則，主機可能會遺漏安全性更新。

遠端主機上安裝的 OpenSSL 為 1.0.1h 之前版本。因此，它會受到 1.0.1h 公告中所提及的多個弱點影響。

  - 在 OpenSSL 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版、1.0.1h 之前的 1.0.1 版中，ssl/d1_lib.c 中的 dtls1_clear_queues 函式在釋放資料結構時未考慮應用程式資料可能在 ChangeCipherSpec 訊息和 Finished 訊息之間抵達，這會允許遠端 DTLS 對等節點透過非預期的應用程式資料來造成拒絕服務 (記憶體損毀和應用程式損毀) 或其他不明影響。(CVE-2014-8176)

  - 在 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版及 1.0.1h 之前的 1.0.1 版 OpenSSL 中，base64 解碼實作之 crypto/evp/encode.c 的 EVP_DecodeUpdate 函式有一個整數反向溢位問題，其允許遠端攻擊者透過特製 base64 資料觸發緩衝區溢位，造成拒絕服務 (記憶體損毀)，或可能造成其他不明影響。(CVE-2015-0292)

  - OpenSSL 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版和 1.0.1h 之前的 1.0.1 版未正確限制 ChangeCipherSpec 訊息的處理，因此攔截式攻擊者可以在特定的 OpenSSL 至 OpenSSL 通訊中觸發零長度主要金鑰的使用，進而透過特製的 TLS 交握來劫持工作階段或取得敏感資訊，亦即「CCS 插入」弱點。(CVE-2014-0224)

  - 在 OpenSSL 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版和 1.0.1h 之前的 1.0.1 版中，d1_both.c 中的 dtls1_get_message_fragment 函式允許遠端攻擊者透過無效 DTLS 交握中的 DTLS hello 訊息，來造成拒絕服務 (遞迴和用戶端當機)。(CVE-2014-0221)

  - 在 OpenSSL 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 和 1.0.1h 之前的 1.0.1 版本中，d1_both.c 中的 dtls1_reassemble_fragment 函式未正確驗證 DTLS ClientHello 訊息中的片段長度，因此遠端攻擊者可以透過非初始的長片段來執行任意程式碼或觸發拒絕服務 (緩衝區溢位和應用程式損毀)。(CVE-2014-0195)

  - 在 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版和 1.0.1h 之前的 1.0.1 版 OpenSSL 中，s3_clnt.c 的 ssl3_send_client_key_exchange 函式在使用匿名 ECDH 加密套件時，會允許遠端攻擊者透過觸發 NULL 憑證值來造成拒絕服務 (NULL 指標解除參照和用戶端當機)。
    (CVE-2014-3470)

  - 在 OpenSSL 1.x 至 1.0.1g (含) 版本中，在 SSL_MODE_RELEASE_BUFFERS 啟用的情況下，s3_pkt.c 的 do_ssl3_write 函式進行特定遞迴呼叫時並未正確管理緩衝區指標，因此遠端攻擊者可以透過媒介觸發警示情形，進而造成拒絕服務 (NULL 指標解除參照和應用程式損毀)。(CVE-2014-0198)

  - 在 OpenSSL 1.0.1g 版及其之前版本中，s3_pkt.c 的 ssl3_read_bytes 函式中存有一個爭用情形，在 SSL_MODE_RELEASE_BUFFERS 啟用的情況下，這會讓遠端攻擊者得以透過多執行緒環境中的 SSL 連線，在工作階段之間插入資料或造成拒絕服務 (釋放後使用和剖析錯誤)。
    (CVE-2010-5298)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 為 0.9.8za 之前版本。因此，它會受到 0.9.8za 公告中提及的多個弱點影響。

  - 在 OpenSSL 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版、1.0.1h 之前的 1.0.1 版中，ssl/d1_lib.c 中的 dtls1_clear_queues 函式在釋放資料結構時未考慮應用程式資料可能在 ChangeCipherSpec 訊息和 Finished 訊息之間抵達，這會允許遠端 DTLS 對等節點透過非預期的應用程式資料來造成拒絕服務 (記憶體損毀和應用程式損毀) 或其他不明影響。(CVE-2014-8176)

  - 在 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版及 1.0.1h 之前的 1.0.1 版 OpenSSL 中，base64 解碼實作之 crypto/evp/encode.c 的 EVP_DecodeUpdate 函式有一個整數反向溢位問題，其允許遠端攻擊者透過特製 base64 資料觸發緩衝區溢位，造成拒絕服務 (記憶體損毀)，或可能造成其他不明影響。(CVE-2015-0292)

  - OpenSSL 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版和 1.0.1h 之前的 1.0.1 版未正確限制 ChangeCipherSpec 訊息的處理，因此攔截式攻擊者可以在特定的 OpenSSL 至 OpenSSL 通訊中觸發零長度主要金鑰的使用，進而透過特製的 TLS 交握來劫持工作階段或取得敏感資訊，亦即「CCS 插入」弱點。(CVE-2014-0224)

  - 在 OpenSSL 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版和 1.0.1h 之前的 1.0.1 版中，d1_both.c 中的 dtls1_get_message_fragment 函式允許遠端攻擊者透過無效 DTLS 交握中的 DTLS hello 訊息，來造成拒絕服務 (遞迴和用戶端當機)。(CVE-2014-0221)

  - 在 OpenSSL 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 和 1.0.1h 之前的 1.0.1 版本中，d1_both.c 中的 dtls1_reassemble_fragment 函式未正確驗證 DTLS ClientHello 訊息中的片段長度，因此遠端攻擊者可以透過非初始的長片段來執行任意程式碼或觸發拒絕服務 (緩衝區溢位和應用程式損毀)。(CVE-2014-0195)

  - 在 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版和 1.0.1h 之前的 1.0.1 版 OpenSSL 中，s3_clnt.c 的 ssl3_send_client_key_exchange 函式在使用匿名 ECDH 加密套件時，會允許遠端攻擊者透過觸發 NULL 憑證值來造成拒絕服務 (NULL 指標解除參照和用戶端當機)。
    (CVE-2014-3470)

  - 在 OpenSSL 1.0.0l 及其之前所有版本中，Montgomery 階梯實作並未確認特定交換作業具有常數時間行為，因此本機使用者可以更輕易地透過 FLUSH+RELOAD 快取旁路攻擊來取得 ECDSA nonce。(CVE-2014-0076) 

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本資訊，遠端 HP Officejet 印表機上執行的韌體受到一個超出邊界讀取錯誤影響，即隨附之 OpenSSL 版本中的「Heartbleed 錯誤」。

此錯誤與處理 TLS 活動訊號延伸模組有關，可導致攻擊者取得敏感資訊，例如主要金鑰內容、次要金鑰內容和其他受保護的內容。請注意：這會同時影響作業的用戶端和伺服器模式。

根據其自我報告的版本資訊，遠端 HP Officejet 印表機上執行的韌體受到一個跨網站指令碼弱點影響，其可允許攻擊者建立含有指令碼的惡意連結，而該指令碼將在造訪時於不知情使用者的瀏覽器中執行。

遠端主機上安裝的 Tomcat 版本比 8.0.8 舊。因此，會受到 fixed_in_apache_tomcat_8.0.8_security-8 公告中所提及的一個弱點影響。

  - 6.0.40 版前的 Apache Tomcat、7.0.54 版前的 7.x 版和 8.0.6 版前的 8.x 版未針對存取與 XSLT 樣式表配合使用的 XML 剖析器正確限制類別載入器，這會讓遠端攻擊者得以 (1) 透過特製的 web 應用程式來提供與實體參照連結的 XML 外部實體宣告，藉此讀取任意檔案 (此與 XML 外部實體 (XXE) 問題相關)，或 (2) 透過特製的 web 應用程式來讀取單一 Tomcat 執行個體上與不同 web 應用程式相關的檔案。
    (CVE-2014-0119)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 8.0.5 舊。因此，會受到 fixed_in_apache_tomcat_8.0.5_security-8 公告中提及的多個弱點影響。

  - 在 6.0.40 版前的 Apache Tomcat、7.0.53 版前的 7.x 版和 8.0.4 版前的 8.x 版中，java/org/apache/coyote/http11/filters/ChunkedInputFilter.java 之 parseChunkHeader 函式中的整數溢位會允許遠端攻擊者在串流資料期間，透過要求區塊傳輸編碼中的格式錯誤區塊大小來造成拒絕服務 (資源消耗)。
    (CVE-2014-0075)

  - 在 8.0.4 之前的 8.x 版 Apache Tomcat 中，java/org/apache/coyote/ajp/AbstractAjpProcessor.java 允許遠端攻擊者使用 Content-Length: 0 AJP 要求觸發要求處理中的懸置，進而造成拒絕服務 (執行緒消耗)。(CVE-2014-0095)

  - 在 6.0.40 版前的 Apache Tomcat、7.0.53 版前的 7.x 版和 8.0.4 版前的 8.x 版中，預設 servlet 的 java/org/apache/catalina/servlets/DefaultServlet.java 未正確限制 XSLT 樣式表，這會讓遠端攻擊者得以透過特製的 web 應用程式來提供與實體參照連結的 XML 外部實體宣告，藉此繞過安全性管理員的限制並讀取任意檔案，此與 XML 外部實體 (XXE) 問題相關。(CVE-2014-0096)

  - 在 6.0.40 版前的 Apache Tomcat、7.0.53 版前的 7.x 版和 8.0.4 版前的 8.x 版中，java/org/apache/tomcat/util/buf/Ascii.java 中的整數溢位在反向代理伺服器背後操作時，會讓遠端攻擊者得以透過特製的 Content-Length HTTP 標頭，發動 HTTP 要求走私攻擊。(CVE-2014-0099)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 7.0.54 舊。因此，會受到 fixed_in_apache_tomcat_7.0.54_security-7 公告中所提及的一個弱點影響。

  - 6.0.40 版前的 Apache Tomcat、7.0.54 版前的 7.x 版和 8.0.6 版前的 8.x 版未針對存取與 XSLT 樣式表配合使用的 XML 剖析器正確限制類別載入器，這會讓遠端攻擊者得以 (1) 透過特製的 web 應用程式來提供與實體參照連結的 XML 外部實體宣告，藉此讀取任意檔案 (此與 XML 外部實體 (XXE) 問題相關)，或 (2) 透過特製的 web 應用程式來讀取單一 Tomcat 執行個體上與不同 web 應用程式相關的檔案。
    (CVE-2014-0119)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 7.0.53 舊。因此，會受到 fixed_in_apache_tomcat_7.0.53_security-7 公告中提及的多個弱點影響。

  - 在 6.0.40 版前的 Apache Tomcat、7.0.53 版前的 7.x 版和 8.0.4 版前的 8.x 版中，java/org/apache/coyote/http11/filters/ChunkedInputFilter.java 之 parseChunkHeader 函式中的整數溢位會允許遠端攻擊者在串流資料期間，透過要求區塊傳輸編碼中的格式錯誤區塊大小來造成拒絕服務 (資源消耗)。
    (CVE-2014-0075)

  - 在 6.0.40 版前的 Apache Tomcat、7.0.53 版前的 7.x 版和 8.0.4 版前的 8.x 版中，預設 servlet 的 java/org/apache/catalina/servlets/DefaultServlet.java 未正確限制 XSLT 樣式表，這會讓遠端攻擊者得以透過特製的 web 應用程式來提供與實體參照連結的 XML 外部實體宣告，藉此繞過安全性管理員的限制並讀取任意檔案，此與 XML 外部實體 (XXE) 問題相關。(CVE-2014-0096)

  - 在 6.0.40 版前的 Apache Tomcat、7.0.53 版前的 7.x 版和 8.0.4 版前的 8.x 版中，java/org/apache/tomcat/util/buf/Ascii.java 中的整數溢位在反向代理伺服器背後操作時，會讓遠端攻擊者得以透過特製的 Content-Length HTTP 標頭，發動 HTTP 要求走私攻擊。(CVE-2014-0099)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本號碼，在遠端主機上接聽的 Apache Tomcat 6.0.x 執行個體版本，為 6.0.40 以前的版本。因此受到以下弱點影響：

- 存在一個與區塊大小和區塊要求相關的錯誤，可導致拒絕服務攻擊。
 (CVE-2014-0075)

- 存在一個與 XSLT 處理和安全管理員相關的錯誤，可引發與外部 XML 實體相關的安全性繞過。(CVE-2014-0096)

- 存在一個與內容長度標頭處理，以及在反向代理伺服器後使用應用程式相關的錯誤，這會允許繞過安全性。(CVE-2014-0099)

- 存在一個錯誤，可允許不想要的 XML 剖析器被惡意 web 應用程式插入應用程式，允許繞過安全性控制，並允許處理外部 XML 實體。
 (CVE-2014-0119)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機似乎正在執行 Fix Pack 8.5.5.2 版之前的 IBM WebSphere Application Server 8.5，因此可能受到下列弱點所影響：

- 存在數個與隨附 IBM SDK for Java (以 Oracle JDK 為基礎) 相關的錯誤，其允許拒絕服務攻擊和資訊洩漏。
 (CVE-2013-5372、CVE-2013-5780、CVE-2013-5803)

- 存在多個與管理主控台和 Oauth 元件相關的輸入驗證錯誤，其允許跨網站指令碼攻擊。
 (CVE-2013-6725 / PM98132 / CVE-2013-6323 / PI04777 / CVE-2013-6738 / PI05661)

- 存在一個因 web 服務端點不當處理發生失敗而導致的錯誤，其允許拒絕服務攻擊。
 (CVE-2013-6325、PM99450、PI08267)

- 隨附的 IBM Global Security Kit 中存在一個與 SSL 處理相關的錯誤，其允許拒絕服務攻擊。(CVE-2013-6329 / PI05309)

- 模組「mod_dav」中存有瑕疵，此瑕疵是在追蹤具有前置空格的 CDAT 長度時所產生。遠端攻擊者若使用特製的 DAV WRITE 要求，可能導致服務停止回應。(CVE-2013-6438 / PI09345)

- 隨附 IBM Global Security Kit 中存在一個與格式錯誤的 X.509 憑證鏈處理相關的錯誤，其允許拒絕服務攻擊。
 (CVE-2013-6747 / PI09443)

- 隨附的 Apache Tomcat 版本中，存在一個與處理「Content-Type」HTTP 標頭和 multipart 要求 (如：檔案上傳) 有關的錯誤，這會允許拒絕服務攻擊。(CVE-2014-0050 / PI12648、PI12926)

- 存在一個不明錯誤，允許將檔案洩漏給未經驗證的遠端攻擊者。
 (CVE-2014-0823 / PI05324)

- 存在一個與管理主控台相關的不明錯誤，其允許安全性繞過。(CVE-2014-0857 / PI07808)

- 存在一個與 web 伺服器外掛程式和 POST 要求失敗重試相關的錯誤，其允許拒絕服務攻擊。(CVE-2014-0859 / PI08892)

- 存在一個與 Proxy 和 ODR 元件相關的錯誤，其允許資訊洩漏。(CVE-2014-0891 / PI09786)

- 存在一個與「Liberty 設定檔」相關的不明錯誤，其允許資訊洩漏。
 (CVE-2014-0896 / PI10134)

根據伺服器回應標頭中的自我報告版本，所安裝的 nginx 版本為 1.5.10。因此會受到記憶體損毀弱點影響。

SPDY 模組實作存在一個瑕疵，導致可透過特製要求損毀背景工作處理程序記憶體。
這可讓遠端攻擊者執行任意程式碼。

請注意，Nessus 並未測試此問題，或者以其他方式判斷是否已套用修補程式，而是僅依據應用程式自我報告的版本號碼。

根據 Web 伺服器的標題，遠端 Web 伺服器上託管的 HP System Management Homepage (SMH) 版本中，OpenSSL 程式庫實作受到以下問題影響：

- 檔案「ssl/s3_both.c」的「ssl3_take_mac」函式中存在與處理 TLS 交握流量相關的錯誤，可導致拒絕服務攻擊。
 (CVE-2013-4353)

- 檔案「ssl/s3_lib.c」的「ssl_get_algorithm2」函式中存在一個與處理 TLS 1.2 流量相關的錯誤，可導致拒絕服務攻擊。
 (CVE-2013-6449)

- 存在與處理 DTLS 重新傳輸程序相關的錯誤，可導致拒絕服務攻擊。(CVE-2013-6450)

- 存在被稱為 'Heartbleed Bug' 的超出邊界讀取錯誤，此錯誤與處理 TLS 活動訊號延伸模組有關，可導致攻擊者取得敏感資訊，例如主要金鑰內容、次要金鑰內容和其他受保護的內容。
 (CVE-2014-0160)

根據其版本號碼，遠端 Splunk Web 伺服器上主控的 Splunk Enterprise 為 6.0.3 之前的 6.x 版。因此會受到多個 OpenSSL 相關弱點影響：

- Splunk 搭配「ssl/s3_both.c」中的「ssl3_take_mac」使用的 OpenSSL 版本存在一個瑕疵。這會允許遠端攻擊者使用特製要求來造成拒絕服務。(CVE-2013-4353)

- TLS/DTLS 實作中因為不當處理 TLS 活動訊號延伸模組封包，而存在一個稱為 Heartbleed 的超出邊界讀取錯誤。利用特製封包的遠端攻擊者可觸發緩衝區過度讀取，進而導致洩漏多達 64KB 的包含主要金鑰內容、次要金鑰內容和其他受保護內容等敏感資訊的處理程序記憶體。(CVE-2014-0160)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據伺服器回應標頭中的自我報告版本，所安裝的 nginx 版本為 1.3.15 或更高的 1.3.x 版、1.4.7 之前的 1.4.x 版，或 1.5.12 之前的 1.5.x 版。因此受到堆積緩衝區溢位弱點影響。

SPDY 通訊協定實作存在一個瑕疵，其中並未正確驗證使用者輸入。這可允許遠端攻擊者造成堆積型緩衝區溢位，進而導致拒絕服務或可能執行任意程式碼。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

根據其標題，遠端主機上執行的 Apache 2.2.x 版比 2.2.27 舊。因此可能受到以下弱點影響：

- 模組「mod_dav」中存有瑕疵，此瑕疵是在追蹤具有前置空格的 CDAT 長度時所產生。遠端攻擊者若使用特製的 DAV WRITE 要求，可能導致服務停止回應。
 (CVE-2013-6438)

-「mod_log_config」模組中存有瑕疵，此瑕疵是在記錄具有未指派值的 cookie 時所產生。遠端攻擊者若使用特製的要求，可能導致服務損毀。(CVE-2014-0098)

請注意，Nessus 並未實際測試此問題，而是僅依據伺服器標題上的版本。

遠端主機上安裝的 OpenSSL 為 1.0.1g 之前版本。因此，它會受到 1.0.1g 公告中所提及的多個弱點影響。

  在 1.0.1g 版之前的 OpenSSL 1.0.1 中，(1) TLS 和 (2) DTLS 實作未正確處理活動訊號延伸模組封包，因此遠端攻擊者可以透過特製的封包來觸發緩衝區過度讀取，進而從處理程序記憶體中取得敏感資訊，讀取私密金鑰即為一例。此問題與 d1_both.c 和 t1_lib.c (即 Heartbleed 錯誤) 有關。(CVE-2014-0160)

  - 在 OpenSSL 1.0.0l 及其之前所有版本中，Montgomery 階梯實作並未確認特定交換作業具有常數時間行為，因此本機使用者可以更輕易地透過 FLUSH+RELOAD 快取旁路攻擊來取得 ECDSA nonce。(CVE-2014-0076) 

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 為 1.0.0m 之前版本。因此，它會受到 1.0.0m 公告中所提及的多個弱點影響。

  - 在 OpenSSL 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版、1.0.1h 之前的 1.0.1 版中，ssl/d1_lib.c 中的 dtls1_clear_queues 函式在釋放資料結構時未考慮應用程式資料可能在 ChangeCipherSpec 訊息和 Finished 訊息之間抵達，這會允許遠端 DTLS 對等節點透過非預期的應用程式資料來造成拒絕服務 (記憶體損毀和應用程式損毀) 或其他不明影響。(CVE-2014-8176)

  - 在 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版及 1.0.1h 之前的 1.0.1 版 OpenSSL 中，base64 解碼實作之 crypto/evp/encode.c 的 EVP_DecodeUpdate 函式有一個整數反向溢位問題，其允許遠端攻擊者透過特製 base64 資料觸發緩衝區溢位，造成拒絕服務 (記憶體損毀)，或可能造成其他不明影響。(CVE-2015-0292)

  - OpenSSL 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版和 1.0.1h 之前的 1.0.1 版未正確限制 ChangeCipherSpec 訊息的處理，因此攔截式攻擊者可以在特定的 OpenSSL 至 OpenSSL 通訊中觸發零長度主要金鑰的使用，進而透過特製的 TLS 交握來劫持工作階段或取得敏感資訊，亦即「CCS 插入」弱點。(CVE-2014-0224)

  - 在 OpenSSL 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版和 1.0.1h 之前的 1.0.1 版中，d1_both.c 中的 dtls1_get_message_fragment 函式允許遠端攻擊者透過無效 DTLS 交握中的 DTLS hello 訊息，來造成拒絕服務 (遞迴和用戶端當機)。(CVE-2014-0221)

  - 在 OpenSSL 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 和 1.0.1h 之前的 1.0.1 版本中，d1_both.c 中的 dtls1_reassemble_fragment 函式未正確驗證 DTLS ClientHello 訊息中的片段長度，因此遠端攻擊者可以透過非初始的長片段來執行任意程式碼或觸發拒絕服務 (緩衝區溢位和應用程式損毀)。(CVE-2014-0195)

  - 在 0.9.8za 之前版本、1.0.0m 之前的 1.0.0 版和 1.0.1h 之前的 1.0.1 版 OpenSSL 中，s3_clnt.c 的 ssl3_send_client_key_exchange 函式在使用匿名 ECDH 加密套件時，會允許遠端攻擊者透過觸發 NULL 憑證值來造成拒絕服務 (NULL 指標解除參照和用戶端當機)。
    (CVE-2014-3470)

  - 在 OpenSSL 1.x 至 1.0.1g (含) 版本中，在 SSL_MODE_RELEASE_BUFFERS 啟用的情況下，s3_pkt.c 的 do_ssl3_write 函式進行特定遞迴呼叫時並未正確管理緩衝區指標，因此遠端攻擊者可以透過媒介觸發警示情形，進而造成拒絕服務 (NULL 指標解除參照和應用程式損毀)。(CVE-2014-0198)

  - 在 OpenSSL 1.0.1g 版及其之前版本中，s3_pkt.c 的 ssl3_read_bytes 函式中存有一個爭用情形，在 SSL_MODE_RELEASE_BUFFERS 啟用的情況下，這會讓遠端攻擊者得以透過多執行緒環境中的 SSL 連線，在工作階段之間插入資料或造成拒絕服務 (釋放後使用和剖析錯誤)。
    (CVE-2010-5298)

  - 在 OpenSSL 1.0.0l 及其之前所有版本中，Montgomery 階梯實作並未確認特定交換作業具有常數時間行為，因此本機使用者可以更輕易地透過 FLUSH+RELOAD 快取旁路攻擊來取得 ECDSA nonce。(CVE-2014-0076) 

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其標題，遠端主機上執行的 lighttpd 版本比 1.4.35 舊。因此，該應用程式受到以下弱點影響：

  - ‘mod_mysql_vhost’ 模組中存在一個 SQL 插入瑕疵，該瑕疵導致使用主機名稱傳送的使用者輸入未正確清理。遠端攻擊者可惡意利用此弱點來插入或操控 SQL 查詢，進而導致操控或洩漏資料。(CVE-2014-2323)

  - ‘mod_evhost’ 和 ‘mod_simple_vhost’ 模組存在一個受限路徑外遊走瑕疵，該瑕疵導致使用主機名稱傳送的使用者輸入未正確清理。遠端攻擊者可利用此瑕疵取得潛在敏感資訊的存取權。(CVE-2014-2324)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據其標題，遠端主機上執行的 Apache 2.4.x 版比 2.4.8 舊。因此，該應用程式受到以下弱點影響：

  - 模組「mod_dav」中存有瑕疵，此瑕疵是在追蹤具有前置空格的 CDATA 長度時所產生。遠端攻擊者若使用特製的 DAV WRITE 要求，可能導致服務停止回應。
    (CVE-2013-6438)

  -「mod_log_config」模組中存有瑕疵，此瑕疵是在記錄具有未指派值的 cookie 時所產生。遠端攻擊者若使用特別建構的要求，則可能導致服務損毀。(CVE-2014-0098)

請注意，Nessus 並未實際測試此問題，而是僅依據伺服器標題上的版本。

根據 Web 伺服器的標題，遠端 Web 伺服器上託管的 HP System Management Homepage (SMH) 版本可能受到以下弱點影響：

- 比 7.3 舊的版本受到不明資訊洩漏弱點影響。(CVE-2013-4846)

- 7.1 至 7.2.2 版受到不明跨網站要求偽造弱點影響。
 (CVE-2013-6188)

ID	名稱	嚴重性
78554	OpenSSL 1.0.1 < 1.0.1j 多個弱點	critical
78553	OpenSSL 1.0.0 < 1.0.0o 多個弱點	critical
78552	OpenSSL 0.9.8 < 0.9.8zc 多個弱點	critical
78386	nginx < 1.6.2 / 1.7.5 SSL 工作階段重複使用	medium
78111	HP Officejet Printer 安全性繞過 (HPSBPI03107)	medium
78090	HP System Management Homepage < 7.4 多種弱點	high
78085	Oracle Fusion Middleware HTTP Server (2012 年 7 月 CPU)	medium
77556	Oracle GlassFish Server 3.0.1 / 3.1.2 / Enterprise 2.1.1 DoS	medium
77531	Apache 2.2.x < 2.2.28 多個弱點	high
77476	Apache Tomcat 8.0.x < 8.0.11 多個 OpenSSL 弱點	critical
77475	Apache Tomcat 7.0.0 < 7.0.55 多個弱點	medium
77438	IBM WebSphere Application Server 8.5 < Fix Pack 8.5.5.3 多個弱點	medium
77389	Pivotal Web Server 5.x < 5.4.1 多個 OpenSSL 弱點	medium
77388	Pivotal Web Server 版本偵測	info
77246	nginx < 1.6.1 / 1.7.4 SMTP STARTTLS 命令插入	medium
77088	OpenSSL 1.0.1 < 1.0.1i 多個弱點	high
77087	OpenSSL 1.0.0 < 1.0.0n 多個弱點	high
77086	OpenSSL 0.9.8 < 0.9.8zb 多個弱點	high
76995	IBM WebSphere Application Server 8.0 < Fix Pack 9 多種弱點	high
76967	IBM WebSphere Application Server 7.0 < Fix Pack 33 多種弱點	high
76914	Apache 2.4.6 遠端 DoS	medium
76622	Apache 2.4.x < 2.4.10 多個弱點	high
76618	Oracle Fusion Middleware Oracle HTTP Server 多個弱點 (2014 年 7 月 CPU)	low
76593	Oracle iPlanet Web Server 7.0.x < 7.0.20 多種弱點	high
76591	Oracle GlassFish Server 多個弱點 (2014 年 7 月 CPU)	high
76528	Splunk Enterprise 4.3.x / 5.0.x < 5.0.9 / 6.0.x < 6.0.5 / 6.1.x < 6.1.2 多個 OpenSSL 弱點	medium
76498	Apache mod_wsgi < 4.2.4 權限降低權限提升	high
76497	Apache mod_wsgi < 3.5 Apache 處理程序權限提升	high
76345	HP System Management Homepage < 7.2.4.1 / 7.3.3.1 OpenSSL 多個弱點	medium
74469	延伸支援階段的 Web 伺服器	info
74364	OpenSSL 1.0.1 < 1.0.1h 多個弱點	high
74363	OpenSSL 0.9.8 < 0.9.8za 多個弱點	high
74270	HP Officejet 印表機活動訊號資訊洩漏 (Heartbleed)	high
74269	HP Officejet Pro 8500 XSS	medium
74249	Apache Tomcat 8.0.0-RC1 < 8.0.8	medium
74248	Apache Tomcat 8.0.0-RC1 < 8.0.5 多個弱點	medium
74247	Apache Tomcat 7.0.0 < 7.0.54	medium
74246	Apache Tomcat 7.0.0 < 7.0.53 多個弱點	medium
74245	Apache Tomcat 6.0.x < 6.0.40 多種弱點	medium
74235	IBM WebSphere Application Server 8.5 < Fix Pack 8.5.5.2 多個弱點	high
73894	nginx 1.5.10 SPDY 記憶體損毀	medium
73639	HP System Management Homepage OpenSSL 多個弱點 (Heartbleed)	high
73575	Splunk 6.x < 6.0.3 多個 OpenSSL 弱點 (Heartbleed)	high
73519	nginx < 1.4.7 / 1.5.12 SPDY 堆積緩衝區溢位	medium
73405	Apache 2.2.x < 2.2.27 多個漏洞	medium
73404	OpenSSL 1.0.1 < 1.0.1g 多個弱點	high
73403	OpenSSL 1.0.0 < 1.0.0m 多個弱點	high
73123	lighttpd < 1.4.35 多個弱點	high
73081	Apache 2.4.x < 2.4.8 多個弱點	medium
72959	HP System Management Homepage < 7.3 多種弱點	medium

偵測

Nessus 的 Web Servers 系列

critical

critical

critical

medium

medium

high

medium

medium

high

critical

medium

medium

medium

info

medium

high

high

high

high

high

medium

high

low

high

high

medium

high

high

medium

info

high

high

high

medium

medium

medium

medium

medium

medium

high

medium

high

high

medium

medium

high

high

high

medium

medium