6.9 (R7) Nessus修复多个漏洞

Nessus潜在影响的几个漏洞OpenSSL最近披露的和固定的(20160926)。注意,由于时间参与一个完整的分析的问题,成立包括选择升级版本的OpenSSL作为一项预防措施,并节省时间。这些漏洞可能影响Nessus和包括:

• cve - 2016 - 6308 - OpenSSL ssl / statem / statem_dtls。c dtls1_preprocess_fragment()函数迪泰消息处理远程DoS内存耗尽
• cve - 2016 - 6305 - OpenSSL ssl /记录/ rec_layer_s3。c SSL_peek()函数空记录处理远程DoS
• cve - 2016 - 6304 - OpenSSL ssl / t1_lib。c ssl_parse_clienthello_tlsext()函数OCSP状态请求远程DoS扩展处理内存耗尽
• cve - 2016 - 6306 - OpenSSL证书消息处理有限界外读DoS的弱点
• cve - 2016 - 6307 - OpenSSL ssl / statem / statem_lib。c tls_get_message_header远程DoS()函数内存耗尽
• cve - 2016 - 6303 - OpenSSL加密/ mdc2 / mdc2dgst。c MDC2_Update()函数缓冲区溢位的弱点
• cve - 2016 - 6329 - 3数据加密算法(3 des) 64位块大小生日攻击HTTPS饼干MitM披露(SWEET32)
• cve - 2016 - 6302 - OpenSSL ssl / t1_lib。c tls_decrypt_ticket()函数票HMAC消化处理,远程DoS
• cve - 2016 - 2179 - OpenSSL迪泰饱和队列缓冲消息疲惫远程DoS
• cve - 2016 - 2181 - OpenSSL迪泰实现远程DoS时代序列号记录处理
• cve - 2016 - 2182 - OpenSSL加密/ bn / bn_print。c BN_bn2dec()函数BIGNUM处理缓冲区溢出DoS
• cve - 2016 - 2180 - OpenSSL加密/ ts / ts_lib。c TS_OBJ_print_bio()函数界外读问题
• cve - 2016 - 2178 - OpenSSL加密/ dsa / dsa_ossl。c DSA签名算法常数时间失败的边信道攻击信息披露
• cve - 2016 - 2177 - OpenSSL整数溢出未指明的弱点
• cve - 2016 - 6309 - OpenSSL ssl / statem / statem。c read_state_machine()函数消息处理Use-after-free远程代码执行
• cve - 2016 - 7052 - OpenSSL CRL处理未指明的空指针引用DoS

此外,Nessus和成立的托管Nessus云提供被认为是影响一个身份验证存储跨站点脚本(XSS)问题报告给我们平Iwasaki (cve - 2016 - 9260)。站得住脚的感谢他私下里向我们报告这个问题,给我们时间来解决这一问题。站得住脚的还要感谢JPCERT / CC协调他们的咨询这个问题。

笔记和事项:

1. Nessus代理不受这些问题的影响,因为他们并没有作为一个SSL服务器。
2. CVSSv2分数反映了cve - 2016 - 6302和其他远程DoS问题。
3. 请注意,站得住脚的强烈建议Nessus被安装在一个子网,不是网络可寻址的。