更新后的 rhevm-spice-client 程序包修复了多个安全问题，现在可用于 Red Hat Enterprise Virtualization Manager 3。

Red Hat 安全响应团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Red Hat Enterprise Virtualization Manager 提供对使用 SPICE 的虚拟机的访问权限。这些 SPICE 客户端程序包为 Windows 32 位操作系统和 Windows 64 位操作系统提供 SPICE 客户端和 usbclerk 服务。

rhevm-spice-client 程序包中包含 mingw-virt-viewer Windows SPICE 客户端。OpenSSL（一个包含 TLS 实现的通用密码库）捆绑于 mingw-virt-viewer。mingw-virt-viewer 程序包已更新，修正了以下问题：

在 OpenSSL 处理 TLS 和 DTLS Heartbeat Extension 数据包的方式中发现信息泄露缺陷。恶意 TLS 或 DTLS 客户端或服务器可发送特别构建的 TLS 或 DTLS 心跳信息数据包，使每个请求从连接的客户端或服务器泄露有限部分的内存。请注意，泄露的内存部分可能包含敏感信息，例如私钥。
(CVE-2014-0160)

已发现使用 CBC 模式加密套件时，OpenSSL 在解密 TLS/SSL 和 DTLS 协议加密的记录时泄漏了定时信息。远程攻击者可能利用此缺陷，通过将 TLS/SSL 或 DTLS 服务器用作 padding oracle，从加密的数据包检索纯文本。(CVE-2013-0169)

在 OpenSSL 处理 TLS/SSL 协议握手数据包的方式中发现空指针取消引用缺陷。特别构建的握手数据包可导致使用 OpenSSL 的 TLS/SSL 客户端崩溃。
(CVE-2013-4353)

已发现使用可选压缩时，TLS/SSL 协议可泄漏明文的相关信息。若攻击者能够控制通过加密的 TLS/SSL 连接发送的部分明文，就有可能利用此缺陷恢复明文的其他部分。(CVE-2012-4929)

Red Hat 在此感谢 OpenSSL 项目报告 CVE-2014-0160。上游感谢原始报告者：Google Security 的 Neel Mehta。

更新后的 mingw-virt-viewer Windows SPICE 客户端还包含对 mingw-virt-viewer 本身没有安全影响的 OpenSSL 安全补丁。可使用此更新中包含的安全补丁处理以下 CVE 编号：

CVE-2013-6449、CVE-2013-6450、CVE-2012-2686 和 CVE-2013-0166

建议所有 Red Hat Enterprise Virtualization Manager 用户升级这些更新后的程序包，其中解决了这些问题。

更新后的 java-1.7.0-oracle 程序包修复了多个安全问题，现在可用于 Red Hat Enterprise Linux 5 和 6 Supplementary。

Red Hat 安全响应团队已将此更新评级为具有严重安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Oracle Java SE 版本 7 包括 Oracle Java Runtime Environment 和 Oracle Java 软件开发工具包。

此更新修复了 Oracle Java Runtime Environment 和 Oracle Java 软件开发工具包中的多个漏洞。有关这些缺陷的更多信息，请参阅“参考”部分的“Oracle Java SE 关键修补程序更新公告”页面。
（CVE-2013-0169、CVE-2013-1484、CVE-2013-1485、CVE-2013-1486、CVE-2013-1487）

建议所有 java-1.7.0-oracle 用户升级这些更新后的程序包，其中提供了 Oracle Java 7 Update 15 并解决了这些问题。必须重新启动所有正在运行的 Oracle Java 实例，才能使更新生效。

已在 OpenSSL 中发现多种漏洞。通用漏洞和暴露计划识别以下问题：

- CVE-2013-0166 OpenSSL 未正确执行 OCSP 响应的签名验证，允许远程攻击者通过无效密钥造成拒绝服务。

- CVE-2013-0169 已发现 CBC 填充中存在时间边信道攻击，允许攻击者通过构建的程序包的统计分析恢复明文片段，称为“Lucky Thirteen”问题。

IBM Java 7 已更新到 SR4-FP1，修复了缺陷和安全问题。

更多信息请参阅：

http://www.ibm.com/developerworks/java/jdk/alerts/

以及：

http://www.ibm.com/developerworks/java/jdk/aix/j764/Java7_64.fixes.htm l#SR4FP1

USN-1732-1 修复了 OpenSSL 中的漏洞。针对 CVE-2013-0169 和 CVE-2012-2686 的补丁由于回归而在 USN-1732-2 中被恢复。
此更新还原了该安全补丁并包含一个来自上游的额外补丁以解决 AES-NI 回归。我们对不便之处表示抱歉。

Adam Langley 和 Wolfgang Ettlingers 发现 OpenSSL 在与 AES-NI 一起使用时未正确处理某些构建的 CBC 数据。远程攻击者可使用此问题造成 OpenSSL 崩溃，从而导致拒绝服务。此问题仅影响 Ubuntu 12.04 LTS 和 Ubuntu 12.10。(CVE-2012-2686)

Nadhem Alfardan 和 Kenny Paterson 发现，在 OpenSSL 中使用的 TLS 协议容易遭受时序边信道攻击，称为“Lucky Thirteen”问题。远程攻击者可利用此问题，通过定时数据分析执行明文恢复攻击。
(CVE-2013-0169)。

远程 Oracle Linux 5/6 主机上安装的程序包受到 ELSA-2013-0275 公告中提及的多个漏洞的影响。

    [1.7.0.9-2.3.7.1.0.2.el6_3]
    - 增加版本号并重新构建。

    [1.7.0.9-2.3.7.1.0.1.el6_3]
    - 更新规范文件中的 DISTRO_NAME

    [1.7.0.9-2.3.7.1.el6_3]
    - 更新了主要源 tarball
    - 已解决：rhbz#911529

    [1.7.0.9-2.3.7.0.el6_3]
    - 删除了 patch1000 sec-2013-02-01-8005615.patch
    - 删除了 patch1001 sec-2013-02-01-8005615-sync_with_jdk7u.patch
    - 删除了 patch1010 sec-2013-02-01-7201064.patch
    - 删除了测试
     - mauve 已过时
     - jtreg 是 icedtea 的遗留问题
    - 更新到 icedtea 2.3.7
    - 针对 jitarchs 在 post 阶段添加了 java -Xshare:dump (请参阅 513605)
    - 已解决：rhbz#911529

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

OpenSSL 1.0.1t 之前的版本和 1.0.2h 之前的 1.0.2 版本中的 AES-NI 实现在特定 padding 检查期间未考虑内存分配，这可让远程攻击者通过对 AES CBC 会话发动 padding-oracle 攻击，获取敏感的明文信息。注意：此漏洞是由于对 CVE-2013-0169 的修复不正确导致的。(CVE-2016-2107)

远程主机受到 GLSA-201401-30 中所述漏洞的影响（Oracle JRE/JDK：多种漏洞）

据报告，在 Oracle Java 实现中存在多种漏洞。请检查下面引用的 CVE 标识符以了解详细信息。
 影响：

未经认证的远程攻击者可利用这些漏洞执行任意代码。
 此外，本地或远程攻击者可利用这些漏洞造成不明影响，可能包括远程执行任意代码。
 变通方案：

目前无任何已知的变通方案。

远程主机受到 GLSA-201406-32 中所述漏洞的影响（IcedTea JDK：多种漏洞）

已在 IcedTea JDK 中发现多种漏洞。请检查下面引用的 CVE 标识符以了解详细信息。
 影响：

远程攻击者可能以进程的权限执行任意代码，造成拒绝服务情况，获得敏感信息，绕过预期的安全策略，或造成其他不明影响。
 变通方案：

目前无任何已知的变通方案。

Versions of OpenSSL prior to 0.9.8y are reportedly affected by the following vulnerabilities :

  - An error exists related to the handling of OCSP response verification that could allow denial of service attacks. (CVE-2013-0166)

  - An error exists related to the SSL/TLS/DTLS protocols, CBC mode encryption and response time. An attacker could obtain plaintext contents of encrypted traffic via timing attacks. (CVE-2013-0169)

The remote host is missing Mac OS X security update 2013-004 that fixes multiple security issues. 

The remote host is running a version of Mac OS X 10.8 that is older than 10.8.5. The newer version contains numerous security-related fixes for the following components :

  - Apache
  - Bind
  - Certificate Trust Policy
  - CoreGraphics
  - ImageIO
  - Installer
  - IPSec
  - Kernel
  - Mobile Device Management
  - OpenSSL
  - PHP
  - PostgreSQL
  - Power Management
  - QuickTime
  - Screen Lock
  - sudo

 This update also addresses an issue in which certain Unicode strings could cause applications to unexpectedly quit.

 Note that successful exploitation of the most serious issues could result in arbitrary code execution.

The TLS protocol 1.1 and 1.2 and the DTLS protocol 1.0 and 1.2, as used in OpenSSL, OpenJDK, PolarSSL, and other products, do not properly consider timing side-channel attacks on a MAC check requirement during the processing of malformed CBC padding, which allows remote attackers to conduct distinguishing attacks and plaintext-recovery attacks via statistical analysis of timing data for crafted packets, aka the Lucky Thirteen issue.

This plugin only works with Tenable.ot.
Please visit https://www.tenable.com/products/tenable-ot for more information.

ID	Name	Product	Family	Published	Updated	Severity
79013	RHEL 6：rhevm-spice-client (RHSA-2014: 0416)	Nessus	Red Hat Local Security Checks	11/8/2014	4/25/2023	high
64775	RHEL 5 / 6：java-1.7.0-oracle (RHSA-2013:0532)	Nessus	Red Hat Local Security Checks	2/21/2013	12/5/2022	critical
64623	Debian DSA-2621-1：openssl - 多个漏洞	Nessus	Debian Local Security Checks	2/14/2013	12/5/2022	medium
66031	SuSE 11.2 安全更新：java-1_7_0-ibm（SAT 修补程序编号 7623）	Nessus	SuSE Local Security Checks	4/19/2013	12/5/2022	critical
65684	Ubuntu 12.04 LTS/12.10：openssl 漏洞 (USN-1732-3)	Nessus	Ubuntu Local Security Checks	3/26/2013	12/5/2022	medium
68736	Oracle Linux 5 / 6：java-1.7.0-openjdk (ELSA-2013-0275)	Nessus	Oracle Linux Local Security Checks	7/12/2013	4/29/2025	medium
94986	F5 网络 BIG-IP：OpenSSL 漏洞 (K93600123)	Nessus	F5 Networks Local Security Checks	11/21/2016	12/5/2022	medium
72139	GLSA-201401-30：Oracle JRE/JDK：多种漏洞	Nessus	Gentoo Local Security Checks	1/27/2014	6/10/2025	critical
76303	GLSA-201406-32：IcedTea JDK：多种漏洞 (BEAST)	Nessus	Gentoo Local Security Checks	6/30/2014	12/5/2022	critical
6868	OpenSSL < 0.9.8y / 1.0.1d / 1.0.0k Multiple Vulnerabilities	Nessus Network Monitor	Web Servers	6/11/2013	3/6/2019	low
8008	Mac OS X 10.8 < 10.8.5 Multiple Vulnerabilities (Security Update 2013-004)	Nessus Network Monitor	Web Clients	9/16/2013	3/6/2019	critical
503248	ABB M2M Gateway Information Disclosure in embedded OpenSSL (CVE-2013-0169)	Tenable OT Security	Tenable.ot	5/27/2025	5/28/2025	low

Detections

Analytics

Plugins Search

high

critical

medium

critical

medium

medium

medium

critical

critical

low

critical

low