現已提供適用於 Slackware 12.1、12.2、13.0、13.1、13.37、14.0 的新 openssl 套件，可修正安全性問題。

根據其標題，遠端 Web 伺服器執行的是 1.0.1d 之前的 OpenSSL 1.0.1 版。因此 OpenSSL 程式庫據報受到以下弱點影響：

  - 存在一個與 AES-NI、TLS 1.1、TLS 1.2 和處理 CBC 加密套件相關的錯誤，其可允許拒絕服務攻擊。請注意，不支援 AES-NI、TLS 1.1 或 TLS 1.2 的平台和版本不會受到影響。(CVE-2012-2686)

  - 存在與 OCSP 回應驗證處理相關的錯誤，可導致拒絕服務攻擊。
    (CVE-2013-0166)

  - 存在一個與 SSL/TLS/DTLS 通訊協定、CBC 模式加密和回應時間相關的錯誤。攻擊者可透過計時攻擊取得加密流量的純文字內容。(CVE-2013-0169)

Adam Langley 和 Wolfgang Ettlingers 發現 OpenSSL 搭配 AES-NI 使用時，會不正確地處理某些特製的 CBC 資料。遠端攻擊者可利用此問題造成 OpenSSL 損毀，進而導致拒絕服務。此問題僅影響 Ubuntu 12.04 LTS 和 Ubuntu 12.10。(CVE-2012-2686)

Stephen Henson 發現 OpenSSL 未正確執行 OCSP 回應的簽章驗證。遠端攻擊者可利用此問題造成 OpenSSL 損毀，進而導致拒絕服務。
(CVE-2013-0166)

Nadhem Alfardan 和 Kenny Paterson 發現 OpenSSL 中使用的 TLS 通訊協定容易受到計時側通道攻擊，稱為「Lucky Thirteen」問題。遠端攻擊者可利用此問題透過計時資料的分析，執行純文字復原攻擊。
(CVE-2013-0169)。

USN-1732-1 已修正 OpenSSL 中的弱點。CVE-2013-0166 和 CVE-2012-2686 的修正引入了一個迴歸，造成支援 AES-NI 的硬體解密失敗。此更新暫時將安全性修正還原為需要進一步調查的擱置狀態。由此給您帶來的不便，我們深表歉意。

Adam Langley 和 Wolfgang Ettlingers 發現 OpenSSL 搭配 AES-NI 使用時，會不正確地處理某些特製的 CBC 資料。遠端攻擊者可利用此問題造成 OpenSSL 損毀，進而導致拒絕服務。此問題僅影響 Ubuntu 12.04 LTS 和 Ubuntu 12.10。(CVE-2012-2686)

Nadhem Alfardan 和 Kenny Paterson 發現 OpenSSL 中使用的 TLS 通訊協定容易受到計時側通道攻擊，稱為「Lucky Thirteen」問題。遠端攻擊者可利用此問題透過計時資料的分析，執行純文字復原攻擊。
(CVE-2013-0169)。

openssl 已更新至 1.0.0k 安全性版本，修正了數個錯誤和安全性問題。(bnc#802648 bnc#802746) 版本已升級，可避免針對 SSL、TLS 與 DTLS 純文字復原攻擊 (CVE-2013-0169)、TLS 1.1 與 1.2 AES-NI 損毀 (CVE-2012-2686) 和 OCSP 無效金鑰 DoS 問題 (CVE-2013-0166) 反向移植大型修正。

也包含下列錯誤修正：bnc#757773 - c_rehash 接受更多副檔名

OpenSSL 安全性團隊報告：

在 DoS 攻擊中，可惡意利用 OpenSSL 在 AES-NI 支援平台上處理 TLS 1.1 和 TLS 1.2 中的 CBC 模式加密套件時所發現的一個瑕疵。

在拒絕服務攻擊中，可惡意利用 OpenSSL 在處理 OCSP 回應驗證時所發現的一個瑕疵。

遠端主機執行的 IBM Tivoli Endpoint Manager Server 版本比 8.2.1372 舊。因此，會受到多個弱點影響：

- 存在多個 SSL 相關的拒絕服務弱點。(CVE-2012-2686、CVE-2013-0166)

- 存在一個 SSL 側通道定時分析攻擊，允許第三方接聽程式進行完整或部分純文字復原。
 (CVE-2013-0169)

- Use Analysis Application 中存在一個跨網站要求偽造弱點，透過特製的 AMF 訊息可惡意利用該弱點。(CVE-2013-0452)

- IBM Tivoli Endpoint Manager Web Reports 中存在一個不明的跨網站指令碼弱點。
 (CVE-2013-0453)

遠端主機執行的 Mac OS X 10.6 或 10.7 版本並未套用安全性更新 2013-004。此更新包含下列元件的多項安全性相關修正：

- Apache
 - Bind
 - Certificate Trust Policy
 - ClamAV
 - Installer
 - IPSec
 - Mobile Device Management
 - OpenSSL
 - PHP
 - PostgreSQL
 - QuickTime
 - sudo

請注意，如果成功惡意利用多數嚴重問題，將會導致任意程式碼執行。

USN-1732-1 已修正 OpenSSL 中的弱點。CVE-2013-0169 和 CVE-2012-2686 的修正已因迴歸而於 USN-1732-2 中還原。
此更新還原了安全性修正，並從上游納入額外的修正，解決了 AES-NI 迴歸。由此給您帶來的不便，我們深表歉意。

Adam Langley 和 Wolfgang Ettlingers 發現 OpenSSL 搭配 AES-NI 使用時，會不正確地處理某些特製的 CBC 資料。遠端攻擊者可利用此問題造成 OpenSSL 損毀，進而導致拒絕服務。此問題僅影響 Ubuntu 12.04 LTS 和 Ubuntu 12.10。(CVE-2012-2686)

Nadhem Alfardan 和 Kenny Paterson 發現 OpenSSL 中使用的 TLS 通訊協定容易受到計時側通道攻擊，稱為「Lucky Thirteen」問題。遠端攻擊者可利用此問題透過計時資料的分析，執行純文字復原攻擊。
(CVE-2013-0169)。

openssl 已更新至 1.0.1e，可修正錯誤和安全性問題：

o 使用正確的 TLS 版本，修正 TLS 1.1、1.2 中的重新交涉。o 包含 fips 組態模組。o 修正 OCSP 錯誤金鑰 DoS 攻擊 CVE-2013-0166 bnc#802746 o SSL/TLS/DTLS CBC 純文字復原攻擊的修正 CVE-2013-0169 bnc#802184 o TLS AESNI 記錄處理瑕疵的修正 CVE-2012-2686

下列錯誤也已修正：bnc#757773 - c_rehash 接受更多副檔名

遠端主機受到 GLSA-201312-03 中所述的弱點影響 (OpenSSL：多個弱點)

在 OpenSSL 中發現多個弱點。如需詳細資訊，請檢閱以下提及的 CVE 識別碼。
 影響：

遠端攻擊者可判斷私密金鑰、解密資料，進而造成拒絕服務或可能帶來其他不明影響。
 因應措施：

目前尚無已知的因應措施。

遠端主機執行的 Mac OS X 10.8.x 版本比 10.8.5 版舊。此更新版本包含下列元件的多項安全性相關修正：

- Apache
 - Bind
 - Certificate Trust Policy
 - CoreGraphics
 - ImageIO
 - Installer
 - IPSec
 - Kernel
 - Mobile Device Management
 - OpenSSL
 - PHP
 - PostgreSQL
 - Power Management
 - QuickTime
 - Screen Lock
 - sudo

此更新也可解決一個導致特定 Unicode 字串可造成應用程式未預期結束的問題。

請注意，如果成功惡意利用多數嚴重問題，將會導致任意程式碼執行。

現已提供適用於 Red Hat Enterprise Virtualization Manager 3 的更新版 rhevm-spice-client 套件，可修正多個安全性問題。

Red Hat 安全應變團隊已將此更新評等為具有重要安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Red Hat Enterprise Virtualization Manager 會透過 SPICE 提供虛擬機器的存取權。這些 SPICE 用戶端套件提供 SPICE 用戶端和 usbclerk 服務，Windows 32 位元和 64 位元的作業系統均適用。

rhevm-spice-client 套件包含 mingw-virt-viewer Windows SPICE 用戶端。OpenSSL (一套使用 TLS 實作的通用密碼編譯程式庫) 隨附於 mingw-virt-viewer。mingw-virt-viewer 套件已升級，更正了下列問題：

在 OpenSSL 處理 TLS 和 DTLS Heartbeat Extension 封包的方式中發現資訊洩漏的缺陷。惡意 TLS 或 DTLS 用戶端或伺服器可傳送特製的 TLS 或 DTLS Heartbeat 封包，進而從連接的用戶端或伺服器進行要求時洩漏有限的記憶體。請注意：記憶體的洩漏部分可能包含像是私密金鑰的敏感資訊。
(CVE-2014-0160)

據發現，在使用 CBC 模式的加密套件時，如果解密 TLS/SSL 和 DTLS 通訊協定加密的記錄，OpenSSL 會洩漏計時資訊。遠端攻擊者可能利用此瑕疵，將 TLS/SSL 或 DTLS 伺服器作為 Padding Oracle 使用，進而擷取來自加密封包的純文字。(CVE-2013-0169)

在 OpenSSL 處理 TLS/SSL 通訊協定交握封包的方式中發現一個 NULL 指標解除參照瑕疵。特製的交握封包可造成使用 OpenSSL 的 TLS/SSL 用戶端當機。
(CVE-2013-4353)

據發現，使用選用壓縮時，TLS/SSL 通訊協定可洩漏純文字的相關資訊。如果攻擊者能夠控制透過加密的 TLS/SSL 連線傳送的部分純文字，便可能利用此缺陷復原純文字的其他部分。(CVE-2012-4929)

Red Hat 要感謝 OpenSSL 專案報告 CVE-2014-0160。上游確認 Google Security 的 Neel Mehta 是原報告者。

已更新的 mingw-virt-viewer Windows SPICE 用戶端進一步包含 OpenSSL 安全性修正，這些修正對於 mingw-virt-viewer 本身不會有任何安全性影響。此更新所附的安全性修正可解決下列 CVE 編號問題：

CVE-2013-6449、CVE-2013-6450、CVE-2012-2686 和 CVE-2013-0166

建議所有 Red Hat Enterprise Virtualization Manager 使用者皆升級至這些更新版套件，其可解決這些問題。

ID	名稱	產品	系列	已發布	已更新	嚴重性
64535	Slackware 12.1 / 12.2 / 13.0 / 13.1 / 13.37 / 14.0 / 最新版本：openssl (SSA:2013-040-01)	Nessus	Slackware Local Security Checks	2013/2/11	2022/12/5	medium
64534	OpenSSL 1.0.1 < 1.0.1d 多個弱點	Nessus	Web Servers	2013/2/9	2023/8/21	low
64798	Ubuntu 8.04 LTS / 10.04 LTS / 11.10 / 12.04 LTS / 12.10 : openssl 弱點 (USN-1732-1)	Nessus	Ubuntu Local Security Checks	2013/2/22	2022/12/5	medium
64968	Ubuntu 12.04 LTS / 12.10：openssl 迴歸 (USN-1732-2)	Nessus	Ubuntu Local Security Checks	2013/3/1	2022/12/5	medium
74901	openSUSE 安全性更新：openssl (openSUSE-SU-2013:0336-1)	Nessus	SuSE Local Security Checks	2014/6/13	2022/12/5	high
64488	FreeBSD：OpenSSL -- TLS 1.1、1.2 拒絕服務 (00b0d8cd-7097-11e2-98d9-003067c2616f)	Nessus	FreeBSD Local Security Checks	2013/2/7	2022/12/5	medium
66270	IBM Tivoli Endpoint Manager Server < 8.2.1372 多個弱點	Nessus	CGI abuses	2013/4/30	2022/12/5	medium
69878	Mac OS X 多個弱點 (安全性更新 2013-004)	Nessus	MacOS X Local Security Checks	2013/9/13	2022/12/5	critical
65684	Ubuntu 12.04 LTS / 12.10 : openssl 弱點 (USN-1732-3)	Nessus	Ubuntu Local Security Checks	2013/3/26	2022/12/5	medium
74902	openSUSE 安全性更新：openssl (openSUSE-SU-2013:0337-1)	Nessus	SuSE Local Security Checks	2014/6/13	2022/12/5	medium
71169	GLSA-201312-03：OpenSSL：多個弱點	Nessus	Gentoo Local Security Checks	2013/12/3	2022/12/5	high
69877	Mac OS X 10.8.x < 10.8.5 多個弱點	Nessus	MacOS X Local Security Checks	2013/9/13	2022/12/5	critical
79013	RHEL 6：rhevm-spice-client (RHSA-2014: 0416)	Nessus	Red Hat Local Security Checks	2014/11/8	2023/4/25	high

偵測

搜尋 Plugin

medium

low

medium

medium

high

medium

medium

critical

medium

medium

high

critical

high