Adam Langley 和 Wolfgang Ettlingers 發現 OpenSSL 搭配 AES-NI 使用時，會不正確地處理某些特製的 CBC 資料。遠端攻擊者可利用此問題造成 OpenSSL 損毀，進而導致拒絕服務。此問題僅影響 Ubuntu 12.04 LTS 和 Ubuntu 12.10。(CVE-2012-2686)

Stephen Henson 發現 OpenSSL 未正確執行 OCSP 回應的簽章驗證。遠端攻擊者可利用此問題造成 OpenSSL 損毀，進而導致拒絕服務。
(CVE-2013-0166)

Nadhem Alfardan 和 Kenny Paterson 發現 OpenSSL 中使用的 TLS 通訊協定容易受到計時側通道攻擊，稱為「Lucky Thirteen」問題。遠端攻擊者可利用此問題透過計時資料的分析，執行純文字復原攻擊。
(CVE-2013-0169)。

IBM Java 6 已更新至 SR13 FP1，修正了數個錯誤和安全性問題。

如需詳細資訊，請參閱下列網址：

http://www.ibm.com/developerworks/java/jdk/alerts/

以及：

http://www.ibm.com/developerworks/java/jdk/aix/j664/Java6_64.fixes.html#SR13FP1

已修正的 CVE：CVE-2013-0485 / CVE-2013-0809 / CVE-2013-1493 / CVE-2013-0169

IBM Java 6 已更新至 SR13 FP1，可修正錯誤和安全性問題。

如需詳細資訊，請參閱下列網址：

http://www.ibm.com/developerworks/java/jdk/alerts/

以及：

http://www.ibm.com/developerworks/java/jdk/aix/j664/Java6_64.fixes.html#SR13FP1

安全性問題：- CVE-2013-0485- CVE-2013-0809

- CVE-2013-0169。(CVE-2013-1493)

現已提供適用於 Red Hat Enterprise Linux 5 和 6 Supplementary 的更新版 java-1.6.0-ibm 套件，可修正數個安全性問題。

Red Hat 安全性回應團隊已將此更新評為具有重大安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

IBM Java SE 版本 6 包含 IBM Java Runtime Environment 和 IBM Java Software Development Kit。

此更新可修正 IBM Java Runtime Environment 和 IBM Java Software Development Kit 中的數個弱點。IBM 「安全性警示」頁面會詳細說明這些弱點，如<參照>一節中所列。(CVE-2013-0169、CVE-2013-0401、CVE-2013-1491、CVE-2013-1537、CVE-2013-1540、CVE-2013-1557、CVE-2013-1563、CVE-2013-1569、CVE-2013-2383、CVE-2013-2384、CVE-2013-2394、CVE-2013-2417、CVE-2013-2418、CVE-2013-2419、CVE-2013-2420、CVE-2013-2422、CVE-2013-2424、CVE-2013-2429、CVE-2013-2430、CVE-2013-2432、CVE-2013-2433、CVE-2013-2435、CVE-2013-2440)

建議所有 java-1.6.0-ibm 使用者皆升級至這些更新版套件，其中包含 IBM Java SE 6 SR13-FP2 版本。所有執行中的 IBM Java 執行個體都必須重新啟動，更新才能生效。

現已提供適用於 Red Hat Enterprise Linux 5 和 6 Supplementary 的更新版 java-1.5.0-ibm 套件，可修正數個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有重要安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

IBM J2SE 版本 5.0 包含 IBM Java Runtime Environment 和 IBM Java Software Development Kit。

此更新可修正 IBM Java Runtime Environment 和 IBM Java Software Development Kit 中的數個弱點。IBM 「安全性警示」頁面會詳細說明這些弱點，如<參照>一節中所列。(CVE-2013-0169、CVE-2013-0401、CVE-2013-1491、CVE-2013-1537、CVE-2013-1557、CVE-2013-1569、CVE-2013-2383、CVE-2013-2384、CVE-2013-2394、CVE-2013-2417、CVE-2013-2419、CVE-2013-2420、CVE-2013-2424、CVE-2013-2429、CVE-2013-2430、CVE-2013-2432)

建議所有 java-1.5.0-ibm 使用者皆升級至這些更新版套件，其中含有 IBM J2SE 5.0 SR16-FP2 版本。所有執行中的 IBM Java 執行個體都必須重新啟動，此更新才會生效。

現已提供適用於 Red Hat Network Satellite Server 5.4 的更新版 java-1.6.0-ibm 套件，可修正多個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

此更新可更正 IBM Java Runtime Environment 中的多個安全性弱點，其隨附在 Red Hat Network Satellite Server 5.4 中。在典型操作環境中，這些項目的安全性風險較低，因為運行時間並未用於不受信任的 applet。

IBM Java 2 Runtime Environment 中的多個瑕疵已修正。
(CVE-2011-0802、CVE-2011-0814、CVE-2011-0862、CVE-2011-0863、CVE-2011-0865、CVE-2011-0867、CVE-2011-0868、CVE-2011-0869、CVE-2011-0871、CVE-2011-0873、CVE-2011-3389、CVE-2011-3516、CVE-2011-3521、CVE-2011-3544、CVE-2011-3545、CVE-2011-3546、CVE-2011-3547、CVE-2011-3548、CVE-2011-3549、CVE-2011-3550、CVE-2011-3551、CVE-2011-3552、CVE-2011-3553、CVE-2011-3554、CVE-2011-3556、CVE-2011-3557、CVE-2011-3560、CVE-2011-3561、CVE-2011-3563、CVE-2011-5035、CVE-2012-0497、CVE-2012-0498、CVE-2012-0499、CVE-2012-0500、CVE-2012-0501、CVE-2012-0502、CVE-2012-0503、CVE-2012-0505、CVE-2012-0506、CVE-2012-0507、CVE-2012-0547、CVE-2012-0551、CVE-2012-1531、CVE-2012-1532、CVE-2012-1533、CVE-2012-1541、CVE-2012-1682、CVE-2012-1713、CVE-2012-1716、CVE-2012-1717、CVE-2012-1718、CVE-2012-1719、CVE-2012-1721、CVE-2012-1722、CVE-2012-1725、CVE-2012-3143、CVE-2012-3159、CVE-2012-3213、CVE-2012-3216、CVE-2012-3342、CVE-2012-4820、CVE-2012-4822、CVE-2012-4823、CVE-2012-5068、CVE-2012-5069、CVE-2012-5071、CVE-2012-5072、CVE-2012-5073、CVE-2012-5075、CVE-2012-5079、CVE-2012-5081、CVE-2012-5083、CVE-2012-5084、CVE-2012-5089、CVE-2013-0169、CVE-2013-0351、CVE-2013-0401、CVE-2013-0409、CVE-2013-0419、CVE-2013-0423、CVE-2013-0424、CVE-2013-0425、CVE-2013-0426、CVE-2013-0427、CVE-2013-0428、CVE-2013-0432、CVE-2013-0433、CVE-2013-0434、CVE-2013-0435、CVE-2013-0438、CVE-2013-0440、CVE-2013-0441、CVE-2013-0442、CVE-2013-0443、CVE-2013-0445、CVE-2013-0446、CVE-2013-0450、CVE-2013-0809、CVE-2013-1473、CVE-2013-1476、CVE-2013-1478、CVE-2013-1480、CVE-2013-1481、CVE-2013-1486、CVE-2013-1487、CVE-2013-1491、CVE-2013-1493、CVE-2013-1500、CVE-2013-1537、CVE-2013-1540、CVE-2013-1557、CVE-2013-1563、CVE-2013-1569、CVE-2013-1571、CVE-2013-2383、CVE-2013-2384、CVE-2013-2394、CVE-2013-2407、CVE-2013-2412、CVE-2013-2417、CVE-2013-2418、CVE-2013-2419、CVE-2013-2420、CVE-2013-2422、CVE-2013-2424、CVE-2013-2429、CVE-2013-2430、CVE-2013-2432、CVE-2013-2433、CVE-2013-2435、CVE-2013-2437、CVE-2013-2440、CVE-2013-2442、CVE-2013-2443、CVE-2013-2444、CVE-2013-2446、CVE-2013-2447、CVE-2013-2448、CVE-2013-2450、CVE-2013-2451、CVE-2013-2452、CVE-2013-2453、CVE-2013-2454、CVE-2013-2455、CVE-2013-2456、CVE-2013-2457、CVE-2013-2459、CVE-2013-2463、CVE-2013-2464、CVE-2013-2465、CVE-2013-2466、CVE-2013-2468、CVE-2013-2469、CVE-2013-2470、CVE-2013-2471、CVE-2013-2472、CVE-2013-2473、CVE-2013-3743)

建議 Red Hat Network Satellite Server 5.4 使用者升級至這些更新版套件，其中包含 IBM Java SE 6 SR14 版本。必須重新啟動 Red Hat Network Satellite Server (「/usr/sbin/rhn-satellite restart」)，以及所有執行中的 IBM Java 執行個體，此更新才會生效。

現已提供適用於 Red Hat Network Satellite Server 5.5 的更新版 java-1.6.0-ibm 套件，可修正多個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

此更新可更正 IBM Java Runtime Environment 中的多個安全性弱點，其隨附在 Red Hat Network Satellite Server 5.5 中。在典型操作環境中，這些項目的安全性風險較低，因為運行時間並未用於不受信任的 applet。

IBM Java 2 Runtime Environment 中的多個瑕疵已修正。
(CVE-2012-0547、CVE-2012-0551、CVE-2012-1531、CVE-2012-1532、CVE-2012-1533、CVE-2012-1541、CVE-2012-1682、CVE-2012-1713、CVE-2012-1716、CVE-2012-1717、CVE-2012-1718、CVE-2012-1719、CVE-2012-1721、CVE-2012-1722、CVE-2012-1725、CVE-2012-3143、CVE-2012-3159、CVE-2012-3213、CVE-2012-3216、CVE-2012-3342、CVE-2012-4820、CVE-2012-4822、CVE-2012-4823、CVE-2012-5068、CVE-2012-5069、CVE-2012-5071、CVE-2012-5072、CVE-2012-5073、CVE-2012-5075、CVE-2012-5079、CVE-2012-5081、CVE-2012-5083、CVE-2012-5084、CVE-2012-5089、CVE-2013-0169、CVE-2013-0351、CVE-2013-0401、CVE-2013-0409、CVE-2013-0419、CVE-2013-0423、CVE-2013-0424、CVE-2013-0425、CVE-2013-0426、CVE-2013-0427、CVE-2013-0428、CVE-2013-0432、CVE-2013-0433、CVE-2013-0434、CVE-2013-0435、CVE-2013-0438、CVE-2013-0440、CVE-2013-0441、CVE-2013-0442、CVE-2013-0443、CVE-2013-0445、CVE-2013-0446、CVE-2013-0450、CVE-2013-0809、CVE-2013-1473、CVE-2013-1476、CVE-2013-1478、CVE-2013-1480、CVE-2013-1481、CVE-2013-1486、CVE-2013-1487、CVE-2013-1491、CVE-2013-1493、CVE-2013-1500、CVE-2013-1537、CVE-2013-1540、CVE-2013-1557、CVE-2013-1563、CVE-2013-1569、CVE-2013-1571、CVE-2013-2383、CVE-2013-2384、CVE-2013-2394、CVE-2013-2407、CVE-2013-2412、CVE-2013-2417、CVE-2013-2418、CVE-2013-2419、CVE-2013-2420、CVE-2013-2422、CVE-2013-2424、CVE-2013-2429、CVE-2013-2430、CVE-2013-2432、CVE-2013-2433、CVE-2013-2435、CVE-2013-2437、CVE-2013-2440、CVE-2013-2442、CVE-2013-2443、CVE-2013-2444、CVE-2013-2446、CVE-2013-2447、CVE-2013-2448、CVE-2013-2450、CVE-2013-2451、CVE-2013-2452、CVE-2013-2453、CVE-2013-2454、CVE-2013-2455、CVE-2013-2456、CVE-2013-2457、CVE-2013-2459、CVE-2013-2463、CVE-2013-2464、CVE-2013-2465、CVE-2013-2466、CVE-2013-2468、CVE-2013-2469、CVE-2013-2470、CVE-2013-2471、CVE-2013-2472、CVE-2013-2473、CVE-2013-3743)

建議 Red Hat Network Satellite Server 5.5 使用者升級至這些更新版套件，其中包含 IBM Java SE 6 SR14 版本。必須重新啟動 Red Hat Network Satellite Server (「/usr/sbin/rhn-satellite restart」)，以及所有執行中的 IBM Java 執行個體，此更新才會生效。

遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式：

- 修正 CVE-2014-0224 - SSL/TLS MITM 弱點

- 取代 ca-bundle.crt 中過期的 GlobalSign Root CA 憑證

- CVE-2013-0169 的修正 - SSL/TLS CBC 定時攻擊 (#907589)

- CVE-2013-0166 的修正 - OCSP 簽章檢查中有 DoS (#908052)

- 只有在系統明確要求，或是已設定 OPENSSL_DEFAULT_ZLIB 環境變數時，才啟用壓縮 (修正 CVE-2012-4929 #857051)

- 全域使用 __secure_getenv 取代 getenv (#839735)

- CVE-2012-2333 的修正 - 不當檢查 DTLS 中的記錄長度 (#820686)

- CVE-2012-2110 的修正 - asn1_d2i_read_bio 中的記憶體損毀 (#814185)

- 修正可能會不正確終止交握的 SGC 重新啟動修補程式問題

- CVE-2012-0884 的修正 - CMS 和 PKCS#7 程式碼中有 MMA 弱點 (#802725)

- CVE-2012-1165 的修正 - 損毀的 MIME 標頭上有 NULL 讀取解除參照 (#802489)

- CVE-2011-4108 和 CVE-2012-0050 的修正 - DTLS 純文字復原弱點和其他 DTLS 修正 (#771770)

- CVE-2011-4109 的修正 - 原則檢查中有重複釋放瑕疵 (#771771)

- CVE-2011-4576 的修正 - 未初始化的 SSL 3.0 填補 (#771775)

- CVE-2011-4619 的修正 - SGC 重新啟動 DoS 攻擊 (#771780)

- 新增已知的 SHA2 演算法答案測試 (#740866)

- 針對 Makefile 2048 位元的憑證，指定預設的私密金鑰長度 (可使用 PRIVATE_KEY_BITS 設定變更) (#745410)

- 修正 parse_yesno 中不正確的傳回值 (#726593)

- 新增 DigiCert CA 憑證到 ca-bundle (#735819)

- 已在 README.FIPS 中新增有關錯誤狀態的小節 (#628976)

- 新增計算 DH 金鑰時缺少的 Dh_check_pub_key 呼叫 (#698175)

- 預先排序 SSL 中可用的密碼清單 (#688901)

- 接受 s_server 連線，即使 getaddrinfo 失敗亦然 (#561260)

- 指向 openssl dgst 取得支援摘要清單 (#608639)

- 修正 TLS 未來版本的處理 (#599112)

- 新增 VeriSign Class 3 Public Primary 憑證授權單位- G5 和 StartCom 憑證授權單位的憑證到 ca-bundle (#675671、#617856)

- 上游已修正 CHIL 引擎 (#622003、#671484)

- 在 SSL_library_init 中新增 SHA-2 雜湊 (#676384)

- 修正 CVE-2010-4180 - 完全停用 SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG 的程式碼 (#659462)

- 修正 CVE-2009-3245 - 新增缺少的 bn_wexpand 傳回檢查 (#570924)

- 修正 CVE-2010-0433 - 不傳送 NULL princ 給 krb5_kt_get_entry，其在 RHEL-5 和更新版本中在此情況下會損毀 (#569774)

- 修正 CVE-2009-3555 - 支援安全的重新交涉延伸模組，伺服器上預設為不允許採用舊的重新交涉 (#533125)

- 修正 CVE-2009-2409 - 放置 EVP 表格的 MD2 演算法 (#510197)

- 修正 CVE-2009-4355 - 應用程式提前呼叫 CRYPTO_cleanup_all_ex_data 時不會洩漏記憶體 (#546707)

SLES 9 相容性套件 compat-openssl097g 收到一個彙總更新，可修正多種安全性問題：

- 構建選項 no-ssl3 不完整。(CVE-2014-3568)

- 新增對 TLS_FALLBACK_SCSV 的支援。(CVE-2014-3566)

- 美化列印功能中的資訊洩漏。
 (CVE-2014-3508)

- OCSP 的惡意金鑰 DoS 攻擊。(CVE-2013-0166)

- SSL/TLS CBC 純文字復原攻擊。(CVE-2013-0169)

- 匿名 ECDH 拒絕服務。(CVE-2014-3470)

- SSL/TLS MITM 弱點 (CVE-2014-0224)

The TLS protocol 1.1 and 1.2 and the DTLS protocol 1.0 and 1.2, as used in OpenSSL, OpenJDK, PolarSSL, and other products, do not properly consider timing side-channel attacks on a MAC check requirement during the processing of malformed CBC padding, which allows remote attackers to conduct distinguishing attacks and plaintext-recovery attacks via statistical analysis of timing data for crafted packets, aka the Lucky Thirteen issue.

This plugin only works with Tenable.ot.
Please visit https://www.tenable.com/products/tenable-ot for more information.

Versions of OpenSSL prior to 0.9.8y are reportedly affected by the following vulnerabilities :

  - An error exists related to the handling of OCSP response verification that could allow denial of service attacks. (CVE-2013-0166)

  - An error exists related to the SSL/TLS/DTLS protocols, CBC mode encryption and response time. An attacker could obtain plaintext contents of encrypted traffic via timing attacks. (CVE-2013-0169)

The remote host is missing Mac OS X security update 2013-004 that fixes multiple security issues. 

The remote host is running a version of Mac OS X 10.8 that is older than 10.8.5. The newer version contains numerous security-related fixes for the following components :

  - Apache
  - Bind
  - Certificate Trust Policy
  - CoreGraphics
  - ImageIO
  - Installer
  - IPSec
  - Kernel
  - Mobile Device Management
  - OpenSSL
  - PHP
  - PostgreSQL
  - Power Management
  - QuickTime
  - Screen Lock
  - sudo

 This update also addresses an issue in which certain Unicode strings could cause applications to unexpectedly quit.

 Note that successful exploitation of the most serious issues could result in arbitrary code execution.

ID	Name	Product	Family	Published	Updated	Severity
64798	Ubuntu 8.04 LTS / 10.04 LTS / 11.10 / 12.04 LTS / 12.10 : openssl 弱點 (USN-1732-1)	Nessus	Ubuntu Local Security Checks	2/22/2013	12/5/2022	medium
66194	SuSE 11.2 安全性更新：IBM Java (SAT 修補程式編號 7627)	Nessus	SuSE Local Security Checks	4/24/2013	12/5/2022	critical
66198	SuSE 10 安全性更新：java-1_6_0-ibm (ZYPP 修補程式編號 8544)	Nessus	SuSE Local Security Checks	4/24/2013	12/5/2022	critical
66440	RHEL 5 / 6：java-1.6.0-ibm (RHSA-2013:0823)	Nessus	Red Hat Local Security Checks	5/15/2013	11/4/2024	critical
66550	RHEL 5 / 6：java-1.5.0-ibm (RHSA-2013:0855)	Nessus	Red Hat Local Security Checks	5/23/2013	12/5/2022	critical
78975	RHEL 5 / 6：Satellite Server 中的 IBM Java Runtime (RHSA-2013:1455) (BEAST)	Nessus	Red Hat Local Security Checks	11/8/2014	12/5/2022	critical
78976	RHEL 5 / 6：Satellite Server 中的 IBM Java Runtime (RHSA-2013:1456)	Nessus	Red Hat Local Security Checks	11/8/2014	12/5/2022	critical
79532	OracleVM 3.2︰onpenssl (OVMSA-2014-0008)	Nessus	OracleVM Local Security Checks	11/26/2014	12/5/2022	high
79738	SuSE 11.3 安全性更新：compat-openssl097g (SAT 修補程式編號 10033)	Nessus	SuSE Local Security Checks	12/5/2014	12/5/2022	medium
503248	ABB M2M Gateway Information Disclosure in embedded OpenSSL (CVE-2013-0169)	Tenable OT Security	Tenable.ot	5/27/2025	5/28/2025	low
6868	OpenSSL < 0.9.8y / 1.0.1d / 1.0.0k Multiple Vulnerabilities	Nessus Network Monitor	Web Servers	6/11/2013	3/6/2019	low
8008	Mac OS X 10.8 < 10.8.5 Multiple Vulnerabilities (Security Update 2013-004)	Nessus Network Monitor	Web Clients	9/16/2013	3/6/2019	critical

Detections

Analytics

Plugins Search

medium

critical

critical

critical

critical

critical

critical

high

medium

low

low

critical