openssl 已更新到 1.0.1e，修复了缺陷和安全问题：

o 通过使用正确的 TLS 版本修复 TLS 1.1、1.2 中的重新协商。o 包含 fips 配置模块。o 修复 OCSP 错误密钥 DoS 攻击 CVE-2013-0166 bnc#802746。o 针对 SSL/TLS/DTLS CBC 明文恢复攻击的补丁 CVE-2013-0169 bnc#802184。o 针对 TLS AESNI 记录处理缺陷的补丁 CVE-2012-2686

还修复了以下缺陷：bnc#757773 - c_rehash 接受更多文件名扩展

远程主机正在运行低于 10.8.5 的 Mac OS X 10.8.x 版本。更新的版本包含针对以下组件的与安全有关的多个补丁：

- Apache
 - Bind
 - Certificate Trust Policy
 - CoreGraphics
 - ImageIO
 - Installer
 - IPSec
 - Kernel
 - Mobile Device Management
 - OpenSSL
 - PHP
 - PostgreSQL
 - Power Management
 - QuickTime
 - Screen Lock
 - sudo

此更新还解决了某些 Unicode 字符串可能导致应用程序意外退出的问题。

请注意，如果成功利用最严重的问题则可能导致执行任意代码。

已发现使用 CBC 模式加密套件时，OpenSSL 在解密 TLS/SSL 和 DTLS 协议加密的记录时泄漏了定时信息。远程攻击者可能利用此缺陷，通过将 TLS/SSL 或 DTLS 服务器用作 padding oracle，从加密的数据包检索明文。(CVE-2013-0169)

在 OpenSSL 的 OCSP 响应验证中发现一个空指针取消引用缺陷。恶意 OCSP 服务器可利用此缺陷，通过发送特别构建的响应来导致执行 OCSP 验证的应用程序崩溃。(CVE-2013-0166)

已发现使用可选压缩时，TLS/SSL 协议可泄漏明文的相关信息。能够控制通过加密的 TLS/SSL 连接发送的部分明文的攻击者可能利用此缺陷恢复明文的其他部分。(CVE-2012-4929)

注意：此更新禁用 zlib 压缩，以前 OpenSSL 中默认启用。使用 OpenSSL 的应用程序现在需要明确启用 zlib 压缩才可使用它。

已发现 OpenSSL 即使被特权（setuid 或 setgid）应用程序使用时也会读取某些环境变量。本地攻击者可利用此缺陷来升级其权限。Scientific Linux 5 和 6 随附的应用程序均未受到此问题的影响。

为使更新生效，必须重新启动所有链接到 OpenSSL 库的服务，或重新启动系统。

已发现使用 CBC 模式加密套件时，OpenSSL 在解密 TLS/SSL 和 DTLS 协议加密的记录时泄漏了定时信息。远程攻击者可能利用此缺陷，通过将 TLS/SSL 或 DTLS 服务器用作 padding oracle，从加密的数据包检索明文。(CVE-2013-0169)

在 OpenSSL 的 OCSP 响应验证中发现一个空指针取消引用缺陷。恶意 OCSP 服务器可利用此缺陷，通过发送特别构建的响应使执行 OCSP 验证的应用程序崩溃。(CVE-2013-0166)

已发现使用可选压缩时，TLS/SSL 协议可泄漏明文的相关信息。能够控制通过加密的 TLS/SSL 连接发送的部分明文的攻击者可能利用此缺陷恢复明文的其他部分。(CVE-2012-4929)

注意：此更新禁用 zlib 压缩，以前 OpenSSL 中默认启用。使用 OpenSSL 的应用程序现在需要明确启用 zlib 压缩才可使用它。

OpenSSL 1.0.1t 之前的版本和 1.0.2h 之前的 1.0.2 版本中的 AES-NI 实现在特定 padding 检查期间未考虑内存分配，这可让远程攻击者通过对 AES CBC 会话发动 padding-oracle 攻击，获取敏感的明文信息。注意：此漏洞是由于对 CVE-2013-0169 的修复不正确导致的。(CVE-2016-2107)

更新后的 rhevm-spice-client 程序包修复了多个安全问题，现在可用于 Red Hat Enterprise Virtualization Manager 3。

Red Hat 安全响应团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Red Hat Enterprise Virtualization Manager 提供对使用 SPICE 的虚拟机的访问权限。这些 SPICE 客户端程序包为 Windows 32 位操作系统和 Windows 64 位操作系统提供 SPICE 客户端和 usbclerk 服务。

rhevm-spice-client 程序包中包含 mingw-virt-viewer Windows SPICE 客户端。OpenSSL（一个包含 TLS 实现的通用密码库）捆绑于 mingw-virt-viewer。mingw-virt-viewer 程序包已更新，修正了以下问题：

在 OpenSSL 处理 TLS 和 DTLS Heartbeat Extension 数据包的方式中发现信息泄露缺陷。恶意 TLS 或 DTLS 客户端或服务器可发送特别构建的 TLS 或 DTLS 心跳信息数据包，使每个请求从连接的客户端或服务器泄露有限部分的内存。请注意，泄露的内存部分可能包含敏感信息，例如私钥。
(CVE-2014-0160)

已发现使用 CBC 模式加密套件时，OpenSSL 在解密 TLS/SSL 和 DTLS 协议加密的记录时泄漏了定时信息。远程攻击者可能利用此缺陷，通过将 TLS/SSL 或 DTLS 服务器用作 padding oracle，从加密的数据包检索纯文本。(CVE-2013-0169)

在 OpenSSL 处理 TLS/SSL 协议握手数据包的方式中发现空指针取消引用缺陷。特别构建的握手数据包可导致使用 OpenSSL 的 TLS/SSL 客户端崩溃。
(CVE-2013-4353)

已发现使用可选压缩时，TLS/SSL 协议可泄漏明文的相关信息。若攻击者能够控制通过加密的 TLS/SSL 连接发送的部分明文，就有可能利用此缺陷恢复明文的其他部分。(CVE-2012-4929)

Red Hat 在此感谢 OpenSSL 项目报告 CVE-2014-0160。上游感谢原始报告者：Google Security 的 Neel Mehta。

更新后的 mingw-virt-viewer Windows SPICE 客户端还包含对 mingw-virt-viewer 本身没有安全影响的 OpenSSL 安全补丁。可使用此更新中包含的安全补丁处理以下 CVE 编号：

CVE-2013-6449、CVE-2013-6450、CVE-2012-2686 和 CVE-2013-0166

建议所有 Red Hat Enterprise Virtualization Manager 用户升级这些更新后的程序包，其中解决了这些问题。

IBM Java 7 已更新到 SR4-FP1，修复了缺陷和安全问题。

更多信息请参阅：

http://www.ibm.com/developerworks/java/jdk/alerts/

以及：

http://www.ibm.com/developerworks/java/jdk/aix/j764/Java7_64.fixes.htm l#SR4FP1

远程主机受到 GLSA-201401-30 中所述漏洞的影响（Oracle JRE/JDK：多种漏洞）

据报告，在 Oracle Java 实现中存在多种漏洞。请检查下面引用的 CVE 标识符以了解详细信息。
 影响：

未经认证的远程攻击者可利用这些漏洞执行任意代码。
 此外，本地或远程攻击者可利用这些漏洞造成不明影响，可能包括远程执行任意代码。
 变通方案：

目前无任何已知的变通方案。

远程主机受到 GLSA-201406-32 中所述漏洞的影响（IcedTea JDK：多种漏洞）

已在 IcedTea JDK 中发现多种漏洞。请检查下面引用的 CVE 标识符以了解详细信息。
 影响：

远程攻击者可能以进程的权限执行任意代码，造成拒绝服务情况，获得敏感信息，绕过预期的安全策略，或造成其他不明影响。
 变通方案：

目前无任何已知的变通方案。

The TLS protocol 1.1 and 1.2 and the DTLS protocol 1.0 and 1.2, as used in OpenSSL, OpenJDK, PolarSSL, and other products, do not properly consider timing side-channel attacks on a MAC check requirement during the processing of malformed CBC padding, which allows remote attackers to conduct distinguishing attacks and plaintext-recovery attacks via statistical analysis of timing data for crafted packets, aka the Lucky Thirteen issue.

This plugin only works with Tenable.ot.
Please visit https://www.tenable.com/products/tenable-ot for more information.

Versions of OpenSSL prior to 0.9.8y are reportedly affected by the following vulnerabilities :

  - An error exists related to the handling of OCSP response verification that could allow denial of service attacks. (CVE-2013-0166)

  - An error exists related to the SSL/TLS/DTLS protocols, CBC mode encryption and response time. An attacker could obtain plaintext contents of encrypted traffic via timing attacks. (CVE-2013-0169)

The remote host is missing Mac OS X security update 2013-004 that fixes multiple security issues. 

The remote host is running a version of Mac OS X 10.8 that is older than 10.8.5. The newer version contains numerous security-related fixes for the following components :

  - Apache
  - Bind
  - Certificate Trust Policy
  - CoreGraphics
  - ImageIO
  - Installer
  - IPSec
  - Kernel
  - Mobile Device Management
  - OpenSSL
  - PHP
  - PostgreSQL
  - Power Management
  - QuickTime
  - Screen Lock
  - sudo

 This update also addresses an issue in which certain Unicode strings could cause applications to unexpectedly quit.

 Note that successful exploitation of the most serious issues could result in arbitrary code execution.

ID	Name	Product	Family	Published	Updated	Severity
74902	openSUSE 安全更新：openssl (openSUSE-SU-2013:0337-1)	Nessus	SuSE Local Security Checks	6/13/2014	12/5/2022	medium
69877	Mac OS X 10.8.x < 10.8.5 多种漏洞	Nessus	MacOS X Local Security Checks	9/13/2013	5/28/2024	critical
65022	Scientific Linux 安全更新：SL5.x、SL6.x i386/x86_64 中的 openssl	Nessus	Scientific Linux Local Security Checks	3/5/2013	12/5/2022	medium
69730	Amazon Linux AMI：openssl (ALAS-2013-171)	Nessus	Amazon Linux Local Security Checks	9/4/2013	12/5/2022	medium
94986	F5 网络 BIG-IP：OpenSSL 漏洞 (K93600123)	Nessus	F5 Networks Local Security Checks	11/21/2016	12/5/2022	medium
79013	RHEL 6：rhevm-spice-client (RHSA-2014: 0416)	Nessus	Red Hat Local Security Checks	11/8/2014	4/25/2023	high
66031	SuSE 11.2 安全更新：java-1_7_0-ibm（SAT 修补程序编号 7623）	Nessus	SuSE Local Security Checks	4/19/2013	12/5/2022	critical
72139	GLSA-201401-30：Oracle JRE/JDK：多种漏洞	Nessus	Gentoo Local Security Checks	1/27/2014	6/10/2025	critical
76303	GLSA-201406-32：IcedTea JDK：多种漏洞 (BEAST)	Nessus	Gentoo Local Security Checks	6/30/2014	12/5/2022	critical
503248	ABB M2M Gateway Information Disclosure in embedded OpenSSL (CVE-2013-0169)	Tenable OT Security	Tenable.ot	5/27/2025	5/28/2025	low
6868	OpenSSL < 0.9.8y / 1.0.1d / 1.0.0k Multiple Vulnerabilities	Nessus Network Monitor	Web Servers	6/11/2013	3/6/2019	low
8008	Mac OS X 10.8 < 10.8.5 Multiple Vulnerabilities (Security Update 2013-004)	Nessus Network Monitor	Web Clients	9/16/2013	3/6/2019	critical

Detections

Analytics

Plugins Search

medium

critical

medium

medium

medium

high

critical

critical

critical

low

low

critical