Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Apache HTTP Server 2.3.x ［］ 2.4.x ［］から 2.4.10 ［］までの mod_lua モジュールの mod_lua.c が、異なるコンテキスト内の異なる引数で同じ Lua 認証プロバイダーが使用される httpd 構成をサポートしていません。これにより、リモートの攻撃者が、意図されたものをバイパスする可能性があります。あるグループが特定のディレクトリにアクセスするための承認を指定し、2番目のグループが2番目のディレクトリにアクセスするための承認を指定する構成によって示されるように、複数のRequireディレクティブを活用することによる、便宜的な状況でのアクセス制限。 （CVE-2014-8109）

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートの Mac OS X ホストには、 5.0.3 より前のバージョンの OS X Server がインストールされています。したがって、次の脆弱性の影響を受けます：

- mod_headers モジュールに欠陥が存在し、後でリクエスト処理の際に HTTP トレイラーが HTTP ヘッダーを置き換えることが可能です。リモートの攻撃者は、これを悪用して、任意のヘッダーを注入することができます。これによって、一部のモジュールが不適切に機能することや、不適切に機能しているように見えることもあります。
 (CVE-2013-5704)

- データベースクラスターをテストで使用するための認証要件を特定する際に「make check」コマンドが initdb を適切に呼び出さないために、権限昇格の脆弱性が存在します。ローカルの攻撃者が、この問題を悪用して、サーバーに一時的にアクセスしたり、権限を昇格したりする可能性があります。(CVE-2014-0067)

- mod_cache モジュールに NULL ポインターデリファレンスの欠陥が存在します。リモートの攻撃者は、空の HTTP Content-Type ヘッダーを使ってこの脆弱性を悪用して、キャッシュフォワードプロキシ構成をクラッシュし、スレッド化された MPM を使用する場合にサービス拒否を引き起こせます。
 (CVE-2014-3581)

- mod_proxy_fcgi モジュールに領域外メモリ読み取りの欠陥が存在します。攻撃者は、リモート FastCGI サーバーを使用して長いレスポンスヘッダーを送信し、この脆弱性を悪用して、バッファオーバーリードを引き起こしてサービス拒否を発生できます。(CVE-2014-3583)

- 複数の Require ディレクティブでさまざまな引数で使用される LuaAuthzProvider を処理するときに、モジュール od_lua に欠陥があります。攻撃者はこの脆弱性を悪用して、意図されているアクセス制限をバイパスできます。
 (CVE-2014-8109)

- 制約違反のエラーメッセージで、制限された列の値を不適切に処理しているため、情報漏洩の脆弱性が存在します。認証されたリモートの攻撃者がこれを悪用して、機密情報へのアクセス権を取得する可能性があります。(CVE-2014-8161)

- Domain Name Service 内に、委任に従うために使用されるコードのエラーによる欠陥が存在します。リモートの攻撃者が、悪意をもって構成されたゾーンまたはクエリで、サービスにクエリを無制限に発行させ、リソースを使い果たさせる可能性があります。(CVE-2014-8500)

- 「mod_lua」モジュールの lua_websocket_read() 関数に、WebSocket PING フレームの不適切な処理による欠陥が存在します。リモートの攻撃者が、これを悪用し、 Lua script が wsupgrade() 関数を呼び出した後に、細工された WebSocket PING フレームを送信することで、子プロセスをクラッシュさせるため、サービス拒否状態を引き起こす可能性があります。(CVE-2015-0228)

- 「to_char」関数に関連する、バッファオーバーフローのエラーがいくつか存在するため、複数の脆弱性が存在します。認証されたリモートの攻撃者が、これらの問題を悪用して、サービス拒否や任意のコードの実行を引き起こす可能性があります。(CVE-2015-0241)

- さまざまな *printf() 関数にスタックベースのバッファオーバーフローのエラーがいくつか存在するため、複数の脆弱性が存在します。このオーバーフローは、浮動小数点数を書式設定する際に、リクエストされた精度が約 500 以上の場合に、ユーザー指定の入力を適切に検証していないため発生しています。認証されたリモートの攻撃者が、これらの問題を悪用して、サービス拒否や任意のコードの実行を引き起こす可能性があります。(CVE-2015-0242)

- 「pgcrypto」拡張での複数の関数にオーバーフローの状態があるため、複数の脆弱性が存在します。このオーバーフローは、メモリサイズを追跡する際に、ユーザー指定の入力を適切に検証していないため発生しています。認証されたリモートの攻撃者が、これらの問題を悪用して、サービス拒否や任意のコードの実行を引き起こす可能性があります。(CVE-2015-0243)

- コマンドパラメーター内の細工されたバイナリデータを処理する際に、ユーザー指定の入力を適切にサニタイズしていないため、SQL インジェクションの脆弱性が存在します。認証されたリモートの攻撃者が、この問題を悪用して、SQL クエリを注入したり操作したりすることができるため、任意のデータの操作または漏洩が引き起こされる可能性があります。
 (CVE-2015-0244)

- プロトコル構造メンバーの初期化の失敗のため、read_request_line() 関数に NULL ポインターデリファレンスの欠陥が存在します。リモートの攻撃者が、この欠陥を悪用し、メソッドが欠落しているリクエストを送信することにより、 INCLUDES フィルターが有効で、ローカル URI を指定する ErrorDocument 400 ディレクティブがあるインストールで、サービス拒否状態を引き起こす可能性があります。(CVE-2015-0253)

- DNSSEC の検証と managed-keys の機能に関連するエラーがあるため、サービス拒否の脆弱性が存在します。リモートの攻撃者が、使える状態のキーがない状態になる間違ったトラストアンカー管理シナリオをトリガーする可能性があり、その結果、アサーションの失敗またはデーモンのクラッシュが引き起こされます。(CVE-2015-1349)

- PostgreSQL クライアントの切断タイムアウト失効に欠陥が存在し、セッション シャットダウン シーケンスの中でタイムアウト割り込みが部分的に発動されたときに発生します。(CVE-2015-3165)

- エラーチェックの失敗による欠陥が、print() 関数に存在しています。リモートの攻撃者が、これを利用して、機密情報にアクセスする可能性があります。(CVE-2015-3166)

PostgreSQL の pgcrypto コンポーネントに、間違ったキーでの復号化に関する複数のエラーメッセージがあります。リモートの攻撃者がこれを利用して、他のシステムから鍵を復元する可能性があります。(CVE-2015-3167)

- チャンクヘッダーを適切に解析できないため、チャンク転送コーディングの実装に欠陥が存在します。リモートの攻撃者がこれを悪用して、 HTTP リクエストスマグリング攻撃を行うおそれがあります。(CVE-2015-3183)

- 要求ディレクティブが認証設定ではなく承認設定に関連している可能性を考慮していないため、ap_some_auth_required() 関数に欠陥が存在します。リモートの攻撃者が、これを悪用し、2.2 API の挙動を信頼するモジュールが存在すると、意図されているアクセス制限をバイパスする可能性があります。
 (CVE-2015-3185)

- 複数の詳細不明の XML の欠陥が Twisted に基づく Wiki Server に存在します。(CVE-2015-5911)

Apache2 が更新され、バグとセキュリティ問題が修正されました。

セキュリティ問題が修正されました：CVE-2013-5704：変更が加えられ、mod_headers がチャンクリクエストを処理する方法で欠陥が修正されました。「MergeTrailers」ディレクティブを追加し、レガシーの動作に復元します [bnc#871310]、

CVE-2014-8109：様々な引数を持つ複数の Require ディレクティブで LuaAuthzProvider を使用する場合の、Require 行の処理を修正します。

バグ修正：

- ユーザーが起動時にパスワードを要求されないため、暗号化証明書を使用している場合に apache が起動時に開始しない状態を修正するために、apache2.service ファイルが変更されました [bnc#792309]。

- SSLSessionCache に <IfModule> を追加し、起動の失敗を回避 [bnc#842377]、[bnc#849445]、[bnc#864166]。

更新済みの apache パッケージは、以下のセキュリティ脆弱性を修正します：

2.4.9 より前の Apache HTTPD は、DAV_WRITE リクエストを処理する際に、mod_dav でのサービス拒否に脆弱でした（CVE-2013-6438）。

2.4.9 より前の Apache HTTPD は、クッキーを記録する際のサービス拒否に脆弱でした（CVE-2014-0098）。

ヒープベースのバッファオーバーフローにつながる競合状態の欠陥が、 mod_status httpd モジュールに見つかりました。スレッドマルチプセッシングモジュール（MPM）を使用しているステータスページにアクセスできるリモートの攻撃者は、特別に細工されたリクエストを送信することができます。これにより、 httpd 子プロセスをクラッシュさせることや、攻撃者が apache ユーザーの権限で任意のコードを実行できるようになることがあります（CVE-2014-0226）。

mod_proxy httpd モジュールに、サービス拒否を引き起こす欠陥が見つかりました。リモートの攻撃者はスレッドマルチプロセッシングモジュール（MPM）を使用するリバースプロキシとして構成されているサーバーに、特別に細工されたリクエストを送信する可能性があります。これにより、httpd 子プロセスがクラッシュします（CVE-2014-0117）。

httpd の mod_deflate モジュールがリクエスト本体の解凍（DEFLATE 入力フィルターから構成された）を処理していた方法で、サービス拒否の欠陥が見つかりました。どの本体を解凍するかについてのリクエストを送信できるリモートの攻撃者はこの欠陥を利用して、システムメモリや CPU をターゲットシステムで過剰に消費できます（CVE-2014-0118）。

httpd の mod_cgid モジュールが標準入力からデータを読み込んでいなかった CGI スクリプトを実行した方法で、サービス拒否の欠陥が見つかりました。リモートの攻撃者は、httpd 子プロセスを無制限にハングさせることのできる特別に細工されたリクエストを送信することができます（CVE-2014-0231）。

mod_cache httpd モジュールが Content-Type ヘッダーを処理する方法で、 NULL ポインターデリファレンスの欠陥が見つかりました。Apache HTTP Server がキャッシングを有効とするサーバーへのプロキシとして構成される場合、悪意ある HTTP サーバーが、httpd 子プロセスをクラッシュさせる可能性があります（CVE-2014-3581）。

2.4.10 までの Apache HTTP Server の mod_lua モジュールの mod_lua.c は、同じ Lua 承認プロバイダーが異なるコンテキストの異なる引数で使用される httpd 構成をサポートしていません。このため、リモートの攻撃者が、あるグループの承認を指定して、特定のディレクトリにアクセスし、2 番目のグループの承認を指定して、2 番目のディレクトリにアクセスする構成で示されるように、複数の Require ディレクティブを活用して、日和見状況で意図されるアクセス制限をバイパスする可能性があります（CVE-2014-8109）。

2.4.10 までの Apache HTTP Server の mod_lua モジュールで、スクリプト r：wsupgrade() の呼び出し後、悪意をもって細工された websockets PING が子プロセスをクラッシュさせる可能性があります（CVE-2015-0228）。

チャンクされたエンコーディングを使用しているリクエストを処理する際に、 httpd が HTTP Trailer ヘッダーを処理する方法で、欠陥が見つかりました。悪意あるクライアントが、 Trailer ヘッダーを利用して、ヘッダー処理が他のモジュールにより行われた後に追加の HTTP ヘッダーを設定する可能性があります。これにより、たとえば、mod_headers で定義されるヘッダー制限がバイパスされる可能性があります（CVE-2013-5704）。

注：この更新で、httpd は HTTP Trailer ヘッダーを他の HTTP リクエストヘッダーと結合しないように変更されています。新たに導入された構成ディレクティブである MergeTrailers を使用して、Trailer ヘッダーの古い処理方法を再度有効にし、前述の欠陥も再度導入します。

この更新では以下のバグも修正されます。

この更新の前は、wss: URL スキーマを使用してバックエンドのサーバーを使用するように設定されていた場合、mod_proxy_wstunnel モジュールが SSL 接続をセットアップできませんでした。これらの更新済みパッケージでは、wss：バックエンドにプロキシ設定されるなら、SSL が使用されます（rhbz#1141950）。

リモートホストが、バージョン 10.10.5 より前の Mac OS X 10.10.x を実行しています。したがって、次のコンポーネントの複数の脆弱性による影響を受けます：

- apache
 - apache_mod_php
 - Apple ID OD Plug-in
 - AppleGraphicsControl
 - Bluetooth
 - bootp
 - CloudKit
 - CoreMedia Playback
 - CoreText
 - curl
 - Data Detectors Engine
 - Date & Time pref pane
 - Dictionary Application
 - DiskImages
 - dyld
 - FontParser
 - groff
 - ImageIO
 - Install Framework Legacy
 - IOFireWireFamily
 - IOGraphics
 - IOHIDFamily
 - Kernel
 - Libc
 - Libinfo
 - libpthread
 - libxml2
 - libxpc
 - mail_cmds
 - Notification Center OSX
 - ntfs
 - OpenSSH
 - OpenSSL
 - perl
 - PostgreSQL
 - python
 - QL Office
 - Quartz Composer Framework
 - Quick Look
 - QuickTime 7
 - SceneKit
 - Security
 - SMBClient
 - Speech UI
 - sudo
 - tcpdump
 - Text Formats
 - udf

注意：最も深刻な問題の悪用が成功すると、任意のコード実行が発生する可能性があります。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Apache HTTP Server 2.3.x 和 2.4.x 到 2.4.10 中的 mod_lua 模块的 mod_lua.c 不支持 httpd 配置，在该配置中，相同的 Lua 授权提供程序会在不同上下文中使用不同的参数，这允许远程攻击者绕过预期的通过利用多个 Require 指令来限制机会性情况下的访问，配置即为一例，该配置指定了授权一个组访问特定目录，并授权另一个组访问第二个目录。 (CVE-2014-8109)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

Apache2 已更新，修复了缺陷和安全问题。

修复的安全问题：CVE-2013-5704：添加了更改以修复 mod_headers 处理分块请求的方式中的一个缺陷。添加“MergeTrailers”指令以恢复传统行为 [bnc#871310]。

CVE-2014-8109：修复在具有不同参数的多个 Require 指令中使用 LuaAuthzProvider 时对 Require 行的处理。

缺陷补丁：

- apache2.service 文件已更改，修复了由于引导时未提示用户输入密码而导致的使用加密证书时 apache 无法在引导时启动的情况 [bnc#792309]。

- 在 SSLSessionCache 两侧添加了 <IfModule>，以免启动失败 [bnc#842377]、[bnc#849445] 和 [bnc#864166]。

远程 Mac OS X 主机上安装的 OS X Server 版本低于 5.0.3。因此，它受到以下漏洞的影响：

- mod_headers 模块中允许 HTTP 尾部在处理请求期间替换 HTTP 标头的漏洞。远程攻击者可利用此漏洞注入任意标头。这可能导致某些模块功能出错或显示为功能出错。
 (CVE-2013-5704)

- 由于“make check”命令未正确调用 initdb 来为测试中所使用的数据库群集指定认证要求，故存在权限升级漏洞。本地攻击者可利用此问题获取临时服务器访问权限以及升级的特权。(CVE-2014-0067)

- 在 mod_cache 模块中存在空指针取消引用缺陷。远程攻击者使用空 HTTP Content-Type 标头，能够使用此漏洞引起缓存转发代理配置崩溃，导致如果使用线程 MPM 则会拒绝服务。
 (CVE-2014-3581)

- 在 mod_proxy_fcgi 模块中存在越界内存读取缺陷。攻击者使用 FastCGI 服务器发送长响应头能够利用此漏洞导致缓冲区过度读取，引起拒绝服务。(CVE-2014-3583)

- 当使用不同参数处理用于多个 Require 指令的 LuaAuthzProvider 时，在 mod_lua 模块中存在缺陷。攻击者可利用此漏洞绕过特意设置的访问限制。
 (CVE-2014-8109)

- 由于未正确处理违反限制的错误消息中的受限列值，因而导致存在信息泄露漏洞。经认证的远程攻击者可以利用这一点获取敏感信息的访问权限。(CVE-2014-8161)

- 域名服务中存在缺陷，原因是在用于接受委派的代码中具有错误。拥有恶意构造的区域或查询的远程攻击者可导致服务发出无限制的查询，从而造成资源耗尽。(CVE-2014-8500)

- 由于未正确处理 WebSocket PING 帧，在“mod_lua”模块的 lua_websocket_read() 函数中存在缺陷。远程攻击者可利用此缺陷，在 Lua 脚本调用 wsupgrade() 函数后发送一个构建的 WebSocket PING 帧以造成子进程崩溃，从而导致拒绝服务。(CVE-2015-0228)

- 由于存在与“to_char”函数相关的多个缓冲区溢出错误，因而存在多种漏洞。经认证的远程攻击者可利用这些问题造成拒绝服务或执行任意代码。(CVE-2015-0241)

- 由于各种 *printf() 函数中存在多个基于堆栈的缓冲区溢出错误，因而导致存在多种漏洞。溢出的原因是当请求的精度大约大于 500 时，在格式化浮点数时未正确验证用户提供的输入。经认证的远程攻击者可利用这些问题造成拒绝服务或执行任意代码。(CVE-2015-0242)

- 由于“pgcrypto”扩展的多个函数中存在溢出情况，因而导致存在多种漏洞。溢出的原因是跟踪内存大小时未正确验证用户提供的输入。经认证的远程攻击者可利用这些问题造成拒绝服务或执行任意代码。(CVE-2015-0243)

- 由于在处理命令参数中构建的二进制数据时未正确审查用户提供的输入，导致存在 SQL 注入漏洞。经认证的远程攻击者可利用此问题注入或操纵 SQL 查询，从而允许操纵或泄露任意数据。
 (CVE-2015-0244)

由于未能初始化协议结构成员而导致 read_request_line() 函数中存在空指针取消引用缺陷。远程攻击者可利用此缺陷，在启用 INCLUDES 过滤器且包含指定本地 URI 的 ErrorDocument 400 指令的安装下发送缺少方法的请求，以造成拒绝服务。(CVE-2015-0253)

- 由于与 DNSSEC 验证和托管密钥功能相关的错误，存在拒绝服务漏洞。远程攻击者可触发不正确的 trust-anchor 管理情况，其中没有可用的密钥，从而导致断言失败和后台程序崩溃。(CVE-2015-1349)

- PostgreSQL 连接中断超时到期中存在缺陷，当超时中断部分地通过会话关闭序列激活时可触发此缺陷。(CVE-2015-3165)

- printf() 函数中存在因未能检查错误而导致的缺陷。远程攻击者可利用此缺陷获取敏感信息的访问权限。(CVE-2015-3166)

- PostgreSQL 中的 pgcrypto 组件因使用错误密钥解密而具有多种错误消息。远程攻击者可利用此缺陷从其他系统恢复密钥。(CVE-2015-3167)

- 由于未能正确解析区块标头，分块传输编码实现中存在一个缺陷。远程攻击者可利用此缺陷进行 HTTP 请求走私攻击。(CVE-2015-3183)

- 由于未考虑 Require 指令可能与授权设置而非验证设置有关，因此，ap_some_auth_required() 函数中存在一个缺陷。如果存在依赖 2.2 API 行为的模块，远程攻击者可以利用此缺陷绕过预期访问限制。
 (CVE-2015-3185)

- 基于 Twisted 的 Wiki Server 中存在多种不明的 XML 缺陷。(CVE-2015-5911)

远程主机运行的 Mac OS X 10.10.x 版低于 10.10.5。因此，它受到以下组件中的多种漏洞影响：

- apache
 - apache_mod_php
 - Apple ID OD Plug-in
 - AppleGraphicsControl
 - Bluetooth
 - bootp
 - CloudKit
 - CoreMedia Playback
 - CoreText
 - curl
 - Data Detectors Engine
 - Date & Time pref pane
 - Dictionary Application
 - DiskImages
 - dyld
 - FontParser
 - groff
 - ImageIO
 - Install Framework Legacy
 - IOFireWireFamily
 - IOGraphics
 - IOHIDFamily
 - Kernel
 - Libc
 - Libinfo
 - libpthread
 - libxml2
 - libxpc
 - mail_cmds
 - Notification Center OSX
 - ntfs
 - OpenSSH
 - OpenSSL
 - perl
 - PostgreSQL
 - python
 - QL Office
 - Quartz Composer Framework
 - Quick Look
 - QuickTime 7
 - SceneKit
 - Security
 - SMBClient
 - Speech UI
 - sudo
 - tcpdump
 - Text Formats
 - udf

请注意，如果成功利用最严重的问题则可能导致执行任意代码。

更新后的 apache 程序包修复了安全漏洞：

处理 DAV_WRITE 请求时，2.4.9 之前的 Apache HTTPD 容易遭受 mod_dav 中的拒绝服务攻击 (CVE-2013-6438)。

记录 cookies 时，2.4.9 之前的 Apache HTTPD 容易遭受拒绝服务攻击 (CVE-2014-0098)。

在 mod_status httpd 模块中发现导致基于堆的缓冲区溢出的争用条件缺陷。能够使用线程化多重处理模块 (MPM) 访问服务器上由 mod_status 提供服务的状态页面的远程攻击者可以发送特别构建的请求，以导致 httpd 子进程崩溃，或者可能允许攻击者以 apache 用户的权限执行任意代码 (CVE-2014-0226)。

在 mod_proxy httpd 模块中发现拒绝服务缺陷。远程攻击者可以向配置为使用线程式多重处理模块 (MPM) 的反向代理的服务器发送特别构建的请求，从而导致 httpd 子进程崩溃 (CVE-2014-0117)。

在 httpd 的 mod_deflate 模块处理请求正文解压缩（通过 DEFLATE 输入过滤器配置）的方式中发现拒绝服务缺陷。能够发送其正文需要解压缩的请求的远程攻击者可以利用此缺陷消耗目标系统上的大量系统内存和 CPU (CVE-2014-0118)。

已发现 httpd 的 mod_cgid 模块执行未从标准输入读取数据的 CGI 脚本的方式中存在拒绝服务缺陷。远程攻击者可提交特别构建的请求，以导致 httpd 子进程无限期挂起 (CVE-2014-0231)。

在 mod_cache httpd 模块处理 Content-Type 标头的方式中发现空指针取消引用缺陷。将 Apache HTTP Server 配置为指向启用了缓存的服务器的代理时，恶意 HTTP 服务器可造成 httpd 子进程崩溃 (CVE-2014-3581)。

2.4.10 之前的 Apache HTTP Server 的 mod_lua 模块中的 mod_lua.c 并不支持同一 Lua 授权提供程序用于不同上下文中不同参数的 httpd 配置，这允许远程攻击者通过利用多条 Require 指令来绕过机会型环境下的预期访问限制，这通过指定一个组授权访问某个目录，并授权第二组访问第二个目录的配置所证实 (CVE-2014-8109)。

在 2.4.10 之前的 Apache HTTP Server 的 mod_lua 模块中，某脚本调用 r:wsupgrade() 后，恶意构建的 websockets PING 可造成子进程崩溃 (CVE-2015-0228)。

当处理使用分块编码的请求时，在 httpd 处理 HTTP 尾部标头的方式中发现一个缺陷。恶意客户端可使用尾部标头在其他模块执行了标头处理之后设置附加 HTTP 标头。例如，这可导致绕过 mod_headers 定义的标头限制 (CVE-2013-5704)。

注意：通过此更新，httpd 已修改为不合并 HTTP Trailer 标头与其他 HTTP 请求标头。新引入的配置指令 MergeTrailers 可用于重新启用处理 Trailer 标头的老方法，从而也重新引入了上述缺陷。

此更新还修复以下缺陷：

在此更新之前，如果配置为使用采用 wss: URL 方案的后端服务器，则 mod_proxy_wstunnel 模块无法设置 SSL 连接，从而导致代理连接失败。在这些更新后的程序包中，如果代理到 wss: 后端服务器则使用 SSL (rhbz#1141950)。

Versions of Apache HTTP Server 2.3.x / 2.4.x prior to 2.4.12 are affected by an authorization bypass vulnerability because of insufficient authorization enforcement in LuaAuthzProvider. Specifically, this issue affects the 'mod_lua.c' module when LuaAuthzProvider is used in multiple Require directives with different arguments. Attackers can exploit this issue using readily available tools to obtain sensitive information that may aid in further attacks.

The remote host is running a version of Mac OS X 10.10.x that is prior to version 10.10.5. The installed version is affected by multiple vulnerabilities in the following components :

 - apache (CVE-2014-3581, CVE-2014-3583, CVE-2014-8109, CVE-2015-0228, CVE-2015-0253, CVE-2015-3183, CVE-2015-3185)
 - apache_mod_php (CVE-2015-2783, CVE-2015-2787, CVE-2015-3307, CVE-2015-3329, CVE-2015-3330, CVE-2015-4021, CVE-2015-4022, CVE-2015-4024, CVE-2015-4025, CVE-2015-4026, CVE-2015-4147, CVE-2015-4148)
 - Apple ID OD Plug-in (CVE-2015-3799)
 - AppleGraphicsControl (CVE-2015-5768)
 - Bluetooth (CVE-2015-3777, CVE-2015-3779, CVE-2015-3780, CVE-2015-3786, CVE-2015-3787)
 - bootp (CVE-2015-3778)
 - CloudKit (CVE-2015-3782)
 - CoreMedia Playback (CVE-2015-5777, CVE-2015-5778)
 - CoreText (CVE-2015-5761, CVE-2015-5755)
 - curl (CVE-2014-3613, CVE-2014-3620, CVE-2014-3707, CVE-2014-8150, CVE-2014-8151, CVE-2015-3143, CVE-2015-3144, CVE-2015-3145, CVE-2015-3148, CVE-2015-3153)
 - Data Detectors Engine (CVE-2015-5750)
 - Date & Time pref pane (CVE-2015-3757)
 - Dictionary Application (CVE-2015-3774)
 - DiskImages (CVE-2015-3800)
 - dyld (CVE-2015-3760)
 - FontParser (CVE-2015-3804, CVE-2015-5775, CVE-2015-5756)
 - groff (CVE-2009-5044, CVE-2009-5078)
 - ImageIO (CVE-2015-5758, CVE-2015-5781, CVE-2015-5782)
 - Install Framework Legacy (CVE-2015-5784, CVE-2015-5754)
 - IOFireWireFamily (CVE-2015-3769, CVE-2015-3771, CVE-2015-3772)
 - IOGraphics (CVE-2015-3770, CVE-2015-5783)
 - IOHIDFamily (CVE-2015-5774)
 - Kernel (CVE-2015-3766, CVE-2015-3768, CVE-2015-5747, CVE-2015-5748, CVE-2015-3806, CVE-2015-3803, CVE-2015-3802, CVE-2015-3805, CVE-2015-3776, CVE-2015-3761)
 - Libc (CVE-2015-3796, CVE-2015-3797, CVE-2015-3798)
 - Libinfo (CVE-2015-5776)
 - libpthread (CVE-2015-5757)
 - libxml2 (CVE-2014-0191, CVE-2014-3660, CVE-2015-3807)
 - libxpc (CVE-2015-3795)
 - mail_cmds (CVE-2014-7844)
 - Notification Center OSX (CVE-2015-3764)
 - ntfs (CVE-2015-5763)
 - OpenSSH (CVE-2015-5600)
 - OpenSSL (CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792)
 - perl (CVE-2013-7422)
 - PostgreSQL (CVE-2014-0067, CVE-2014-8161, CVE-2015-0241, CVE-2015-0242, CVE-2015-0243, CVE-2015-0244)
 - python (CVE-2013-7040, CVE-2013-7338, CVE-2014-1912, CVE-2014-7185, CVE-2014-9365)
 - QL Office (CVE-2015-5773, CVE-2015-3784)
 - Quartz Composer Framework (CVE-2015-5771)
 - Quick Look (CVE-2015-3781)
 - QuickTime 7 (CVE-2015-3779, CVE-2015-5753, CVE-2015-5779, CVE-2015-3765, CVE-2015-3788, CVE-2015-3789, CVE-2015-3790, CVE-2015-3791, CVE-2015-3792, CVE-2015-5751)
 - SceneKit (CVE-2015-5772, CVE-2015-3783)
 - Security (CVE-2015-3775)
 - SMBClient (CVE-2015-3773)
 - Speech UI (CVE-2015-3794)
 - sudo (CVE-2013-1775, CVE-2013-1776, CVE-2013-2776, CVE-2013-2777, CVE-2014-0106, CVE-2014-9680)
 - tcpdump (CVE-2014-8767, CVE-2014-8769, CVE-2014-9140)
 - Text Formats (CVE-2015-3762)
 - udf (CVE-2015-3767)

 Note that successful exploitation of the most serious issues can result in arbitrary code execution.

ID	Name	Product	Family	Published	Updated	Severity
218553	Linux Distros のパッチ未適用の脆弱性: CVE-2014-8109	Nessus	Misc.	3/4/2025	9/4/2025	critical
86066	Mac OS X：OS X Server < 5.0.3 複数の脆弱性	Nessus	MacOS X Local Security Checks	9/22/2015	11/22/2019	critical
80300	openSUSE セキュリティ更新：apache2（openSUSE-SU-2014:1726-1）	Nessus	SuSE Local Security Checks	12/30/2014	1/19/2021	medium
82346	Mandriva Linux セキュリティアドバイザリ：apache（MDVSA-2015:093）	Nessus	Mandriva Local Security Checks	3/30/2015	1/14/2021	medium
85408	Mac OS X 10.10.x < 10.10.5 の複数の脆弱性	Nessus	MacOS X Local Security Checks	8/17/2015	5/28/2024	high
218553	Linux Distros 未修补的漏洞: CVE-2014-8109	Nessus	Misc.	3/4/2025	9/4/2025	critical
80300	openSUSE 安全更新：apache2 (openSUSE-SU-2014:1726-1)	Nessus	SuSE Local Security Checks	12/30/2014	1/19/2021	medium
86066	Mac OS X：OS X Server < 5.0.3 多种漏洞	Nessus	MacOS X Local Security Checks	9/22/2015	11/22/2019	critical
85408	Mac OS X 10.10.x < 10.10.5 多种漏洞	Nessus	MacOS X Local Security Checks	8/17/2015	5/28/2024	high
82346	Mandriva Linux 安全公告：apache (MDVSA-2015:093)	Nessus	Mandriva Local Security Checks	3/30/2015	1/14/2021	medium
8587	Apache HTTP Server 2.3.x / 2.4.x < 2.4.12 Authorization Bypass	Nessus Network Monitor	Web Servers	2/4/2015	3/6/2019	low
8981	Mac OS X < 10.10.5 Multiple Vulnerabilities	Nessus Network Monitor	Operating System Detection	10/16/2015	3/6/2019	high

Detections

Analytics

Plugins Search

critical

critical

medium

medium

high

critical

medium

critical

high

medium

low

high