远程主机受到 GLSA-201312-03 中所述漏洞的影响（OpenSSL：多种漏洞）

在 OpenSSL 中发现多种漏洞。请检查下面引用的 CVE 标识符以了解详细信息。
 影响：

远程攻击者可确定私钥、解密数据、造成拒绝服务，还可能造成其他不明影响。
 变通方案：

目前无任何已知的变通方案。

openssl 已更新到 1.0.1e，修复了缺陷和安全问题：

o 通过使用正确的 TLS 版本修复 TLS 1.1、1.2 中的重新协商。o 包含 fips 配置模块。o 修复 OCSP 错误密钥 DoS 攻击 CVE-2013-0166 bnc#802746。o 针对 SSL/TLS/DTLS CBC 明文恢复攻击的补丁 CVE-2013-0169 bnc#802184。o 针对 TLS AESNI 记录处理缺陷的补丁 CVE-2012-2686

还修复了以下缺陷：bnc#757773 - c_rehash 接受更多文件名扩展

远程 VMware ESXi 5.1 主机受到以下漏洞的影响：

- 捆绑的 OpenSSL 库中存在一个拒绝服务漏洞，该漏洞在处理 OCSP 响应验证时触发。远程攻击者可利用此漏洞使程序崩溃。(CVE-2013-0166)

- 存在与 SSL/TLS/DTLS 协议、CBC 模式加密和响应时间有关的错误。攻击者可通过时序攻击获取加密流量的明文内容。(CVE-2013-0169)

- libxml2 库中存在与 XML 内部实体扩展相关的错误，可允许拒绝服务攻击。(CVE-2013-0338)

- 处理网络文件复制 (NFC) 流量时存在空指针取消引用缺陷。攻击者可利用此缺陷，通过拦截和修改 NFC 流量造成拒绝服务情况。(CVE-2014-1207)

- 在处理无效端口时存在拒绝服务漏洞，可能导致来宾用户破坏 VMX 流程。(CVE-2014-1208)

运行 Windows 或 AIX 的远程主机上安装的 IBM Tivoli Storage Manager 版本是 6.1。因此，它可能受到捆绑的 SSL 库中多种缺陷的影响：

- 可引起远程攻击者通过特别构建的“ClientHello”消息造成拒绝服务的缺陷。(CVE-2012-2190)。

- 可引起远程攻击者通过在 TLS 记录层中使用特别构建的值造成拒绝服务的缺陷。(CVE-2012-2191)。

- 可引起远程攻击者执行名为“Lucky Thirteen”的统计时序攻击的缺陷。
 (CVE-2013-0169)。

OpenSSL 1.0.1t 之前的版本和 1.0.2h 之前的 1.0.2 版本中的 AES-NI 实现在特定 padding 检查期间未考虑内存分配，这可让远程攻击者通过对 AES CBC 会话发动 padding-oracle 攻击，获取敏感的明文信息。注意：此漏洞是由于对 CVE-2013-0169 的修复不正确导致的。(CVE-2016-2107)

IBM Java 7 已更新到 SR4-FP1，修复了缺陷和安全问题。

更多信息请参阅：

http://www.ibm.com/developerworks/java/jdk/alerts/

以及：

http://www.ibm.com/developerworks/java/jdk/aix/j764/Java7_64.fixes.htm l#SR4FP1

远程主机受到 GLSA-201401-30 中所述漏洞的影响（Oracle JRE/JDK：多种漏洞）

据报告，在 Oracle Java 实现中存在多种漏洞。请检查下面引用的 CVE 标识符以了解详细信息。
 影响：

未经认证的远程攻击者可利用这些漏洞执行任意代码。
 此外，本地或远程攻击者可利用这些漏洞造成不明影响，可能包括远程执行任意代码。
 变通方案：

目前无任何已知的变通方案。

远程主机受到 GLSA-201406-32 中所述漏洞的影响（IcedTea JDK：多种漏洞）

已在 IcedTea JDK 中发现多种漏洞。请检查下面引用的 CVE 标识符以了解详细信息。
 影响：

远程攻击者可能以进程的权限执行任意代码，造成拒绝服务情况，获得敏感信息，绕过预期的安全策略，或造成其他不明影响。
 变通方案：

目前无任何已知的变通方案。

更新后的 rhevm-spice-client 程序包修复了多个安全问题，现在可用于 Red Hat Enterprise Virtualization Manager 3。

Red Hat 安全响应团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Red Hat Enterprise Virtualization Manager 提供对使用 SPICE 的虚拟机的访问权限。这些 SPICE 客户端程序包为 Windows 32 位操作系统和 Windows 64 位操作系统提供 SPICE 客户端和 usbclerk 服务。

rhevm-spice-client 程序包中包含 mingw-virt-viewer Windows SPICE 客户端。OpenSSL（一个包含 TLS 实现的通用密码库）捆绑于 mingw-virt-viewer。mingw-virt-viewer 程序包已更新，修正了以下问题：

在 OpenSSL 处理 TLS 和 DTLS Heartbeat Extension 数据包的方式中发现信息泄露缺陷。恶意 TLS 或 DTLS 客户端或服务器可发送特别构建的 TLS 或 DTLS 心跳信息数据包，使每个请求从连接的客户端或服务器泄露有限部分的内存。请注意，泄露的内存部分可能包含敏感信息，例如私钥。
(CVE-2014-0160)

已发现使用 CBC 模式加密套件时，OpenSSL 在解密 TLS/SSL 和 DTLS 协议加密的记录时泄漏了定时信息。远程攻击者可能利用此缺陷，通过将 TLS/SSL 或 DTLS 服务器用作 padding oracle，从加密的数据包检索纯文本。(CVE-2013-0169)

在 OpenSSL 处理 TLS/SSL 协议握手数据包的方式中发现空指针取消引用缺陷。特别构建的握手数据包可导致使用 OpenSSL 的 TLS/SSL 客户端崩溃。
(CVE-2013-4353)

已发现使用可选压缩时，TLS/SSL 协议可泄漏明文的相关信息。若攻击者能够控制通过加密的 TLS/SSL 连接发送的部分明文，就有可能利用此缺陷恢复明文的其他部分。(CVE-2012-4929)

Red Hat 在此感谢 OpenSSL 项目报告 CVE-2014-0160。上游感谢原始报告者：Google Security 的 Neel Mehta。

更新后的 mingw-virt-viewer Windows SPICE 客户端还包含对 mingw-virt-viewer 本身没有安全影响的 OpenSSL 安全补丁。可使用此更新中包含的安全补丁处理以下 CVE 编号：

CVE-2013-6449、CVE-2013-6450、CVE-2012-2686 和 CVE-2013-0166

建议所有 Red Hat Enterprise Virtualization Manager 用户升级这些更新后的程序包，其中解决了这些问题。

Versions of OpenSSL prior to 0.9.8y are reportedly affected by the following vulnerabilities :

  - An error exists related to the handling of OCSP response verification that could allow denial of service attacks. (CVE-2013-0166)

  - An error exists related to the SSL/TLS/DTLS protocols, CBC mode encryption and response time. An attacker could obtain plaintext contents of encrypted traffic via timing attacks. (CVE-2013-0169)

The remote host is missing Mac OS X security update 2013-004 that fixes multiple security issues. 

The remote host is running a version of Mac OS X 10.8 that is older than 10.8.5. The newer version contains numerous security-related fixes for the following components :

  - Apache
  - Bind
  - Certificate Trust Policy
  - CoreGraphics
  - ImageIO
  - Installer
  - IPSec
  - Kernel
  - Mobile Device Management
  - OpenSSL
  - PHP
  - PostgreSQL
  - Power Management
  - QuickTime
  - Screen Lock
  - sudo

 This update also addresses an issue in which certain Unicode strings could cause applications to unexpectedly quit.

 Note that successful exploitation of the most serious issues could result in arbitrary code execution.

The TLS protocol 1.1 and 1.2 and the DTLS protocol 1.0 and 1.2, as used in OpenSSL, OpenJDK, PolarSSL, and other products, do not properly consider timing side-channel attacks on a MAC check requirement during the processing of malformed CBC padding, which allows remote attackers to conduct distinguishing attacks and plaintext-recovery attacks via statistical analysis of timing data for crafted packets, aka the Lucky Thirteen issue.

This plugin only works with Tenable.ot.
Please visit https://www.tenable.com/products/tenable-ot for more information.

ID	名稱	產品	系列	已發布	已更新	嚴重性
71169	GLSA-201312-03：OpenSSL：多种漏洞	Nessus	Gentoo Local Security Checks	2013/12/3	2022/12/5	high
74902	openSUSE 安全更新：openssl (openSUSE-SU-2013:0337-1)	Nessus	SuSE Local Security Checks	2014/6/13	2022/12/5	medium
72037	ESXi 5.1 < Build 1483097 多种漏洞（远程检查）	Nessus	Misc.	2014/1/20	2022/12/5	low
77117	IBM Tivoli Storage Manager Server 6.1.x 多种漏洞	Nessus	General	2014/8/11	2022/12/5	low
94986	F5 网络 BIG-IP：OpenSSL 漏洞 (K93600123)	Nessus	F5 Networks Local Security Checks	2016/11/21	2022/12/5	medium
66031	SuSE 11.2 安全更新：java-1_7_0-ibm（SAT 修补程序编号 7623）	Nessus	SuSE Local Security Checks	2013/4/19	2022/12/5	critical
72139	GLSA-201401-30：Oracle JRE/JDK：多种漏洞	Nessus	Gentoo Local Security Checks	2014/1/27	2025/6/10	critical
76303	GLSA-201406-32：IcedTea JDK：多种漏洞 (BEAST)	Nessus	Gentoo Local Security Checks	2014/6/30	2022/12/5	critical
79013	RHEL 6：rhevm-spice-client (RHSA-2014: 0416)	Nessus	Red Hat Local Security Checks	2014/11/8	2023/4/25	high
6868	OpenSSL < 0.9.8y / 1.0.1d / 1.0.0k Multiple Vulnerabilities	Nessus Network Monitor	Web Servers	2013/6/11	2019/3/6	low
8008	Mac OS X 10.8 < 10.8.5 Multiple Vulnerabilities (Security Update 2013-004)	Nessus Network Monitor	Web Clients	2013/9/16	2019/3/6	critical
503248	ABB M2M Gateway Information Disclosure in embedded OpenSSL (CVE-2013-0169)	Tenable OT Security	Tenable.ot	2025/5/27	2025/5/28	low

偵測

搜尋 Plugin

high

medium

low

low

medium

critical

critical

critical

high

low

critical

low