远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2016:1654 公告中提及的多个漏洞的影响。

    KVM（基于内核的虚拟机）是针对 AMD64 上的 Linux 以及 Intel 64 位系统的完全虚拟化解决方案。qemu-kvm-rhev 程序包为使用由 Red Hat Enterprise Virtualization Manager 管理的环境中的 KVM 运行虚拟机提供了用户空间组件。

    安全修复：

    * 使用 iSCSI 图像支持的区块驱动程序 (virtio-blk) 构建的快速仿真器 (Qemu) 容易受到堆缓冲区溢出问题影响。此问题可能会在处理 iSCSI 异步 I/O ioctl(2) 调用时发生。客户机中的用户可利用此缺陷使 Qemu 进程崩溃，进而导致 DoS，或可能在主机上以 Qemu 进程的权限执行任意代码。(CVE-2016-5126)

    * 使用 virtio 框架构建的快速模拟器 (Qemu) 容易受到不受限制的内存分配问题的攻击。已发现恶意客户机用户可提交比 virtqueue 大小所允许的更多的请求。处理请求会分配 VirtQueueElement，并因而在由客户机控制的主机上造成不受限制的内存分配问题。(CVE-2016-5403)

    Red Hat 在此感谢 hongzhenhao（Marvel 团队）报告 CVE-2016-5403。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2014:0434 公告中提及的多个漏洞的影响。

    KVM（基于内核的虚拟机）是针对 AMD64 上的 Linux 以及 Intel 64 位系统的完全虚拟化解决方案。qemu-kvm-rhev 程序包为使用由 Red Hat Enterprise Linux OpenStack Platform 管理的环境中的 KVM 运行虚拟机提供了用户空间组件。

    在各种 QEMU 区块驱动程序中发现多种整数溢出、输入验证、逻辑错误和缓冲区溢出缺陷。能够修改访客加载的磁盘映像文件的攻击者可利用这些缺陷导致客户机崩溃，或损坏主机上的 QEMU 进程内存，从而造成以 QEMU 进程的权限在主机上执行任意代码。（CVE-2014-0143、CVE-2014-0144、CVE-2014-0145、CVE-2014-0147）

    在 QEMU 的 virtio_net_handle_mac() 函数处理访客请求以更新 Mac 地址表的方式中发现缓冲区溢出缺陷。特权客户机用户可利用此缺陷破坏主机上的 QEMU 进程内存，这可导致使用 QEMU 进程的权限在主机上执行任意代码。
    (CVE-2014-0150)

    在 QEMU 的并行区块驱动程序的 seek_to_sector() 函数中发现除以零缺陷。能够修改访客加载的磁盘映像文件的攻击者可利用此缺陷导致客户机崩溃。
    (CVE-2014-0142)

    在 QEMU 的 QCOW2 区块驱动程序中发现空指针取消引用缺陷。能够修改访客加载的磁盘映像文件的攻击者可利用此缺陷导致客户机崩溃。(CVE-2014-0146)

    已发现 Hyper-V VHDX 映像的区块驱动程序未正确计算 BAT（区块分配表）条目，原因是缺少边界检查。能够修改访客加载的磁盘映像文件的攻击者可利用此缺陷导致客户机崩溃。(CVE-2014-0148)

    CVE-2014-0143 问题由 Red Hat 的 Kevin Wolf 和 Stefan Hajnoczi 发现；CVE-2014-0144 问题由 Red Hat 的 Fam Zheng、Jeff Cody、Kevin Wolf 和 Stefan Hajnoczi 发现；CVE-2014-0145 问题由 Red Hat 的 Stefan Hajnoczi 发现；CVE-2014-0150 问题由 Red Hat 的 Michael S. Tsirkin 发现；CVE-2014-0142、CVE-2014-0146 和 CVE-2014-0147 问题由 Red Hat 的 Kevin Wolf 发现；CVE-2014-0148 问题由 Red Hat 的 Jeff Cody 发现。

    建议所有 qemu-kvm-rhev 用户升级到这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。安装此更新后，关闭所有正在运行的虚拟机。关闭所有虚拟机后，重新启动它们才能使此更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 / 7 主机上安装的程序包受到 RHSA-2016:1604 公告中提及的多个漏洞影响。

    MariaDB 是一款多用户、多线程 SQL 数据库服务器。出于所有实用目的，MariaDB 与 MySQL 二进制兼容。

    下列程序包已升级到更新的上游版本：rh-mariadb100-mariadb (10.0.26)。

    安全修复：

    * 此更新修复了 MariaDB 数据库服务器中的多个漏洞。有关这些缺陷的信息，请参阅“参考”部分中列出的“Oracle 关键修补程序更新公告”页面。
    （CVE-2016-3477、CVE-2016-3521、CVE-2016-3615、CVE-2016-5440）

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2014:0113 公告中提及的漏洞的影响。

    openstack-keystone 程序包提供了 keystone，这是 OpenStack Identity 服务 API 的 Python 实现，可提供身份、令牌、目录和策略服务。

    在 keystone 中 LDAP 后端处理角色删除的方式中发现缺陷。如果之前未向用户授予要删除的角色，则可能无意间向该用户授予角色。请注意，这仅影响使用 LDAP 后端的 OpenStack Identity 设置。
    (CVE-2013-4477)

    建议所有 openstack-keystone 用户升级到这些更新后的程序包，其中包含用于修正此问题的向后移植的修补程序。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2017:0982 公告中提及的多个漏洞的影响。

    KVM（基于内核的虚拟机）是针对多种架构 Linux 的完全虚拟化解决方案。qemu-kvm-rhev 程序包为使用由 Red Hat 产品管理的环境中的 KVM 运行虚拟机提供了用户空间组件。

    安全修复：

    * 置有 Cirrus CLGD 54xx VGA 仿真器和 VNC 显示驱动程序支持的快速仿真器 (QEMU) 容易受到堆缓冲区溢出问题的攻击。VNC 客户端在来宾机执行 VGA 操作后，尝试更新其显示时，可能会产生此问题。来宾机中的特权用户/进程可利用此缺陷使 QEMU 进程崩溃，从而导致 DoS，或可能利用此缺陷在具有 QEMU 进程权限的主机上执行任意代码。(CVE-2016-9603)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2014:0367 公告中提及的漏洞的影响。

    OpenStack Object Storage (swift) 在虚拟容器中提供对象存储空间，其允许用户存储和检索文件（任意数据）。服务的分布式架构支持水平缩放；
    冗余，因为通过基于软件的数据复制可以提供故障保护。由于 Object Storage 支持异步最终一致性复制，因此非常适合多数据中心部署。

    在 swift TempURL 中间件响应任意 TempURL 请求的方式中发现时序攻击缺陷。知道对象名称的攻击者可利用此缺陷获取此对象的机密 URL，如果该对象已设置 TempURL 密钥，该 URL 本应仅与特定的收件人公开共享。请注意，只有使用 TempURL 中间件的设置会受到影响。(CVE-2014-0006)

    Red Hat 在此感谢 OpenStack 项目报告此问题。
    上游感谢原始报告者 Samuel Merritt (SwiftStack)。

    建议所有 openstack-swift 用户升级到这些更新后的程序包，其中修复了此问题。安装此更新后，OpenStack Object Storage 服务将会自动重新启动。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 / 7 主机上安装的程序包受到 RHSA-2016:2927 公告中提及的多个漏洞影响。

    MariaDB 是一款多用户、多线程 SQL 数据库服务器。出于所有实用目的，MariaDB 与 MySQL 二进制兼容。

    下列程序包已升级到更新的上游版本：rh-mariadb100-mariadb (10.0.28)。

    安全修复：

    * 已发现 MariaDB 登录功能允许写入 MariaDB 配置文件。
    管理数据库用户，或具有 FILE 权限的数据库用户，可能会利用此缺陷，在运行数据库服务器的系统上利用根权限运行任意命令。(CVE-2016-6662)

    * 在 MariaDB 执行 MyISAM 引擎表修复的方式中发现争用条件。对运行 mysqld 的服务器具有 shell 访问权限的数据库用户可利用此缺陷更改 mysql 系统用户可写入的任意文件的权限。（CVE-2016-6663、CVE-2016-5616）

    * 此更新修复了 MariaDB 数据库服务器中的多个漏洞。有关这些缺陷的信息，请参阅“参考”部分中列出的“Oracle 关键修补程序更新公告”页面。
    （CVE-2016-3492、CVE-2016-5612、CVE-2016-5624、CVE-2016-5626、CVE-2016-5629、CVE-2016-5630、CVE-2016-8283）

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2017:0936 公告中提及的漏洞的影响。

    defusedxml 程序包包含多个仅适用于 Python 的更新，用于 Python XML 库中的安全漏洞。可使用 Defusedxml 函数和类代替原始函数和类，以防范实体扩展和 DTD 检索问题。

    PySAML2 是 SAML 版本 2 的 python 实现，包含用于构建要在 WSGI 环境中使用的 SAML2 服务提供者或身份提供者的所有功能。

    安全修复：

    * 在 python-pysaml2 中发现 XML 实体扩展漏洞。远程攻击者可发送特制的请求，通过资源耗尽造成拒绝服务。(CVE-2016-10149)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 / 7 主机上安装的程序包受到 RHSA-2016:1601 公告中提及的多个漏洞影响。

    MySQL 是一款多用户、多线程 SQL 数据库服务器。它包含 MySQL 服务器后台程序、mysqld 以及许多客户端程序。

    下列程序包已升级到较新的上游版本：rh-mysql56-mysql (5.6.32)。

    安全修复：

    * 此更新修复了 MySQL 数据库服务器中的多个漏洞。有关这些缺陷的信息，请参阅“参考”部分中列出的“Oracle 关键修补程序更新公告”页面。
    CVE-2016-3459、CVE-2016-3477、CVE-2016-3486、CVE-2016-3501、CVE-2016-3521、CVE-2016-3614、CVE-2016-3615、CVE-2016-5439、CVE-2016-5440）

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2014:1689 公告中提及的漏洞的影响。

    OpenStack Compute 软件 (Nova) 启动和管理大型虚拟机网络，创建冗余且可缩放的云计算平台。
    Compute 提供编排云所需的软件、控制面板和 API，包括运行虚拟机实例，管理网路以及通过用户和项目控制访问。

    在 nova VMware 驱动程序处理 VNC 端口分配的方式中发现一个争用条件缺陷。经过身份验证的用户可利用此缺陷，通过反复生成新实例，获取对属于其他租户的实例的未经授权的控制台访问权限。请注意，只有使用 VMware 驱动程序和 VNC 代理服务的 nova 设置会受到影响。 (CVE-2014-8750)

    openstack-nova 程序包已升级到上游版本 2013.2.4，该版本提供对之前版本的多项缺陷修复和增强。(BZ#1146086)

    此更新还修复以下缺陷：

    * 在此更新之前，设置版本上限时，某些 RPC 消息不会发送正确的数据格式。从 Red Hat Enterprise Linux OpenStack Platform 4.0 实时升级到 Red Hat Enterprise Linux OpenStack Platform 5.0 期间，如果计算节点运行不同的代码版本，则未升级的 Compute 主机上的某些操作会失败。此更新完成后，在所有情况下都会发送正确版本的数据，并且在实时迁移期间所有 RPC 调用都会成功。
    (BZ#1083625)

    建议所有 openstack-nova 用户升级到这些更新后的程序包，其中修正了这些问题并添加了这些增强。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 / 7 主机上安装的程序包受到 RHSA-2015:1004 公告中提及的漏洞的影响。

    KVM（基于内核的虚拟机）是针对 AMD64 上的 Linux 以及 Intel 64 位系统的完全虚拟化解决方案。qemu-kvm-rhev 程序包为使用由 Red Hat Enterprise Linux OpenStack Platform 管理的环境中的 KVM 运行虚拟机提供了用户空间组件。

    已发现 QEMU 的虚拟软盘控制器 (FDC) 在处理某些 FDC 命令的同时处理 FIFO 缓冲区访问的方式中，存在越界内存访问缺陷。特权客户机用户可能利用此缺陷造成客户机崩溃，还可能利用与该客户机对应的主机的 QEMU 进程特权，在主机上执行任意代码。
    (CVE-2015-3456)

    Red Hat 在此感谢来自 CrowdStrike 的 Jason Geffner 报告此问题。

    建议所有 qemu-kvm-rhev 用户升级到这些更新后的程序包，其中包含用于修正此问题的向后移植的修补程序。安装此更新后，关闭所有正在运行的虚拟机。关闭所有虚拟机后，重新启动它们才能使此更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 5 主机上安装的程序包受到 RHSA-2010:0961 公告中提及的漏洞影响。

    Enterprise Web Platform 针对中型工作负载，侧重于轻量化的富文本 Java 应用程序。Web Platform 是 JBoss Enterprise Application Platform 的精简配置文件。

    发现 JBoss Remoting 组件中存在缺陷。远程攻击者可利用特制的输入使 JBoss Remoting 监听器失去响应，从而导致通过 JBoss Remoting 套接字通信的服务出现拒绝服务的情况。(CVE-2010-3862)

    Red Hat 在此感谢 eXerp.com 的 Ole Husgaard 报告此问题。

    这些更新后的程序包包含多个缺陷补丁。很快将可通过“参考”部分中链接的发行说明获得这些缺陷补丁的文档。

    此外，此更新还向 JBoss Enterprise Web Platform 5.1 添加一个新的 jbossws-cxf 程序包，以提供 jbossws-cxf 来源。(BZ#645465)

    警告：应用此更新之前，请备份 JBoss Enterprise Web Platform 的 jboss-as-web/server/$PROFILE/deploy/ 目录，以及所有其他自定义配置文件。

    建议 Red Hat Enterprise Linux 4 和 5 上 JBoss Enterprise Web Platform 的所有用户都升级到这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2012:1379 公告中提及的漏洞的影响。

    OpenStack Swift (http://swift.openstack.org) 是一种高度可用、分布式、最终一致的对象/blob 存储。

    已发现 OpenStack Swift 以不安全的方式使用 Python pickle 模块来序列化和反序列化来自 memcached 的数据。由于 memcached 没有身份验证，本地网络上的攻击者或 OpenStack 上托管的虚拟机中的非特权用户可能利用此缺陷注入特制的数据，从而执行任意代码。(CVE-2012-4406)

    Red Hat 在此感谢 SUSE 安全团队的 Sebastian Krahmer 报告此问题。

    注意：默认不启用针对 CVE-2012-4406 的补丁，需要对受影响的 Proxy 节点执行手动操作。此更新添加了一个 memcache_serialization_support 选项。在 /etc/swift/proxy-server.conf 中配置，默认设置为 0。此默认设置容易遭受 CVE-2012-4406的影响。

    要启用此补丁，必须更改此选项；但是，所需的更改可能会产生重大的临时性能影响。以下说明旨在最大程度地减少性能问题：

    1) 安装更新的 openstack-swift 程序包。

    2) 在 /etc/swift/proxy-server.conf 中，将 memcache/[filter:cache] 部分中的 memcache_serialization_support 选项设置为 1。（默认值 0 会使您容易受到 CVE-2012-4406 的影响。）设置为 1 时，将使用 JSON (JavaScript Object Notation) 格式，但仍支持 pickle。此配置仍然容易受到影响，但新数据将以 JSON 格式存储。

    3) 将此选项设置为 1 后，运行 service openstack-swift-proxy restart。

    4) 24 小时后，将 /etc/swift/proxy-server.conf 中的 memcache_serialization_support 选项设置为 2。2 为安全选项：仅使用 JSON。

    5) 将此选项设置为 2 后，运行 service openstack-swift-proxy restart。

    如果将 memcache_serialization_support 直接设置为从 0 到 2，则刷新并重新创建 memcached 中的所有数据。这可导致重大的临时性能影响。

    建议所有 openstack-swift 用户升级到这些更新后的程序包，其中修复了此问题。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2012:1557 公告中提及的多个漏洞的影响。

    openstack-keystone 程序包提供了 Keystone，这是 OpenStack Identity 服务 API 的 Python 实现，可提供身份、令牌、目录和策略服务。

    openstack-keystone 程序包已升级到上游版本 2012.2.1，该版本提供对之前版本的多项缺陷修复和增强。(BZ#883829)

    此更新也修复了以下安全问题：

    Keystone 中的缺陷允许具有 Web 和网络接口访问权限的攻击者继续使用链接至已过期令牌的链式令牌。这将允许攻击者在父令牌过期时仍能继续使用令牌，从而继续访问 OpenStack 服务。(CVE-2012-5563)

    发现在使用 Amazon Elastic Compute Cloud (Amazon EC2) 式凭据（以与标准 Amazon EC2 凭据相同的格式颁发的凭据）时，Keystone 未正确处理从租户中删除的用户。当从租户中删除用户时，用户保留了该租户提供的权限，因此可以访问原本不应再访问的资源。(CVE-2012-5571)

    Red Hat 在此感谢 OpenStack 项目报告这些问题。上游感谢 CVE-2012-5563 的原始报告者 Anndy 、CVE-2012-5571 的原始报告者 Vijaya Erukala。

    建议所有 openstack-keystone 用户升级到这些更新后的程序包，其中修正了这些问题并添加了这些增强。安装更新后的程序包后，Keystone 服务 (openstack-keystone) 将自动重新启动。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2015:0836 公告中提及的漏洞的影响。

    OpenStack Object Storage (swift) 在虚拟容器中提供对象存储空间，其允许用户存储和检索文件（任意数据）。服务的分布式架构支持水平缩放；
    冗余，因为通过基于软件的数据复制可以提供故障保护。由于 Object Storage 支持异步最终一致性复制，因此非常适合多数据中心部署。

    在 OpenStack Object Storage (swift) 的元数据限制中发现一个缺陷。通过在多个单独的调用中添加元数据，恶意用户可绕过 max_meta_count 限制，并存储超出配置允许的更多元数据。(CVE-2014-7960)

    建议所有 openstack-swift 用户升级到这些更新后的程序包，其中修复了此问题。安装此更新后，OpenStack Object Storage 服务将会自动重新启动。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 4 主机上安装的多个程序包受到 RHSA-2014:1825 公告中提及的一个漏洞影响。

    PHP 是一种嵌入 HTML 的脚本语言，通常用于 Apache HTTP 服务器。

    在 xmlrpc 扩展解析 ISO 8601 格式的日期的方式中发现基于堆栈的缓冲区溢出缺陷。特制的 XML-RPC 请求或响应可能导致应用程序崩溃或以运行该 PHP 应用程序的用户的权限来执行任意代码。(CVE-2014-8626)

    建议所有 php 用户升级到这些更新后的程序包，其中包含用于修正此问题的向后移植的修补程序。安装更新后的程序包后，必须重新启动 httpd 后台程序才能使更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 / 7 主机上安装的程序包受到 RHSA-2015:1064 公告中提及的多个漏洞影响。

    Python 是一种解释型、交互式、面向对象的编程语言，支持模块、类、异常、高层次的动态数据类型，以及动态输入。python27 集合提供稳定版本的 Python 2.7，其中包含大量适用于 MySQL 和 PostgreSQL 的其他实用工具及数据库连接器。

    python27-python 程序包已升级到上游版本 2.7.8，其提供了对之前版本的多项缺陷补丁。(BZ#1167912)

    已修复 python27-python 组件中的以下安全问题：

    已发现 socket.recvfrom_into() 函数无法检查已提供缓冲区的大小。这可能导致使用大小不足的缓冲区调用该函数时出现缓冲区溢出。
    (CVE-2014-1912)

    已发现 Python xmlrpclib 模块不会限制 gzip 压缩 HTTP 响应的大小。恶意 XMLRPC 服务器可以导致使用 xmlrpclib 的 XMLRPC 客户端消耗过多内存。(CVE-2013-1753)

    已发现实现网络协议（例如 httplib 或 smtplib）的多个 Python 标准库模块无法限制服务器响应的大小。恶意服务器可导致使用其中一个受影响模块的客户端消耗过多内存。(CVE-2013-1752)

    已发现 CGIHTTPServer 模块未正确处理 URL 编码的路径。远程攻击者可以利用此缺陷执行 cgi-bin 目录外的脚本，或泄露 cgi-bin 目录中脚本的源代码。(CVE-2014-4650)

    在 buffer() 函数处理其偏移和大小参数的方式中发现一个整数溢出缺陷。能够控制这些参数的攻击者可以利用此缺陷泄露部分应用程序内存或导致其崩溃。(CVE-2014-7185)

    已修复 python27-python 和 python27-python-simplejson 组件中的以下安全问题：

    发现 json 模块处理传递到特定函数（例如 raw_decode()）的负索引参数的方式中存在缺陷。如果攻击者可以控制传递到某一受影响函数的索引值，则可能利用此缺陷泄露部分应用程序内存。(CVE-2014-4616)

    此外，此更新还添加了以下增强：

    * python27 软件集合现在包含 python-wheel 和 python-pip 模块。 （BZ#994189、BZ#1167902）

    建议所有 python27 用户升级到这些更新后的程序包，其中修正了这些问题并添加了这些增强。必须重新启动所有正在运行的 python27 实例才能使更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2013:0547 公告中提及的多个漏洞的影响。

    Red Hat CloudForms 是一种本地混合云基础架构即服务 (IaaS) 产品，用于创建和管理私有云与公有云。它以可管理、可管控的安全方式为用户提供自助式计算资源。CloudForms System Engine 可用于在分布式环境中配置新系统，订阅更新以及维护安装。

    发现在安装和配置过程中运行的 /usr/share/katello/script/katello-generate-passphrase 实用工具在 /etc/katello/secure/passphrase 文件中设置了全局可读权限。本地攻击者可利用此缺陷获取 Katello 的密码，从而访问其原本没有访问权限的信息。
    (CVE-2012-5561)

    注意：安装此更新后，请确保 /etc/katello/secure/passphrase 文件归根用户和群组以及模式 0750 权限所有。站点还应考虑重新创建 Katello 密码，因为此问题已将密码暴露给本地用户。

    katello-configure 实用工具执行的一项任务是创建 RPM 并将其安装在需要连接到 Katello 服务器的客户端计算机上。已发现此 RPM 对用于信任 Katello 服务器的 pem 文件（包含证书颁发机构的证书）设置了全局可读和可写入的权限。攻击者可利用此缺陷执行中间人攻击，从而允许其管理（如安装和删除软件）Katello 客户端系统。(CVE-2012-6116)

    CVE-2012-5561 问题由 Red Hat Cloud 质量工程团队的 Aaron Weitekamp 发现， CVE-2012-6116 由 Red Hat 的 Dominic Cleal 和 James Laska 发现。

    此更新还修复以下缺陷：

    * CloudForms System Engine 命令行工具未正确解析区域设置，从而导致以下错误：

    缺少转换：de.activerecord.errors.messages.record_invalid

    此更新替换用于设置区域设置的控制器。不再出现转换错误。 (BZ#896251)

    * 某些区域设置未为创建新角色正确转义某些 UI 内容。这破坏了某些区域设置的“保存”按钮。此更新修正了本地化 UI 内容的转义行为。“保存”按钮现在可用于创建新角色。(BZ#896252)

    * 缺少的图标阻止用户删除最近或保存的搜索。此更新添加了图标，用户现在可以删除最近或已保存的搜索。
    (BZ#896253)

    * Candlepin 0.7.8 组件中的性能问题导致订阅响应性随着订阅 CloudForms System Engine 的系统数量的增加而降低。此勘误表更新到 Candlepin 0.7.19，修正了性能问题。(BZ#896261)

    * CloudForms System Engine 不会获取 Extended Update Service (EUS) 权利。这会阻止用户查看和启用 EUS 存储库。此更新修订了清单上传和删除代码，还修正了获取权利的行为。系统引擎现在提取 EUS 授权。 (BZ#896265)

    * 菜单宽度问题导致本地化 UI 不呈现某些菜单项。此更新会修正系统引擎 UI 的样式。Web UI 现在正确显示菜单项。(BZ#903702)

    请参阅 CloudForms 1.1.2 发行说明以了解有关此版本的更多信息。很快将可通过 https://access.redhat.com/knowledge/docs/ 获得发行说明

    要升级，请参阅 CloudForms 安装指南 4.1 部分中的升级说明。升级 CloudForms System Engine：

    https://access.redhat.com/knowledge/docs/en-US/CloudForms/1.1/html/Installation_Guide/index.html

    建议 CloudForms System Engine 用户升级到这些更新后的程序包。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2016:0085 公告中提及的漏洞的影响。

    KVM（基于内核的虚拟机）是针对 AMD64 上的 Linux 以及 Intel 64 位系统的完全虚拟化解决方案。qemu-kvm-rhev 程序包提供了用于使用 KVM 运行虚拟机的用户空间组件。

    在 QEMU 的固件配置设备仿真处理某些固件配置的方式中，发现越界读取/写入缺陷。
    有权限的 (CAP_SYS_RAWIO) 客户机用户可利用此缺陷使 Qemu 处理程序实例崩溃，或可能在具有 QEMU 进程权限的主机上执行任意代码。(CVE-2016-1714)

    Red Hat 在此感谢 Alibaba 的 Donghai Zhu 报告此问题。

    建议所有 qemu-kvm-rhev 用户升级到这些更新后的程序包，其中包含用于修正此问题的向后移植的修补程序。安装此更新后，关闭所有正在运行的虚拟机。关闭所有虚拟机后，重新启动它们才能使此更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2017:0333 公告中提及的多个漏洞的影响。

    KVM（基于内核的虚拟机）是针对多种架构 Linux 的完全虚拟化解决方案。qemu-kvm-rhev 程序包为使用由 Red Hat 产品管理的环境中的 KVM 运行虚拟机提供了用户空间组件。

    安全修复：

    * 以 Cirrus CLGD 54xx VGA 仿真器支持构建的快速仿真器 (QEMU) 容易受到越界访问问题的攻击。在后向模式下以 bitblt 副本的方式复制 VGA 数据时，会发生上述情况。来宾机中的特权用户可利用此缺陷使 QEMU 进程崩溃，进而导致 DoS，或可能在主机上以 QEMU 进程的权限执行任意代码。(CVE-2017-2615)

    * 以 Cirrus CLGD 54xx VGA 仿真器支持构建的快速仿真器 (QEMU) 容易受到越界访问问题的攻击。此问题在 cirrus_bitblt_cputovideo 中复制 VGA 数据时会发生。来宾机中的特权用户可利用此缺陷使 QEMU 进程崩溃，或可能在具有 QEMU 进程权限的主机上执行任意代码。(CVE-2017-2620)

    Red Hat 在此感谢 Wjjzhang (Tencent.com Inc.) 和 Li Qiang (360.cn Inc.) 报告 CVE-2017-2615。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2016:0505 公告中提及的多个漏洞的影响。

    Django 是高级的 Python Web 框架，可促进快速开发和简介、实用的设计。它侧重于尽可能实现自动化并遵守 DRY（不要重复自己）原则。

    安全修复：

    * 在 Django.utils.http.is_safe_url() 函数过滤身份验证 URL 的方式中发现开放重定向缺陷。能够诱骗受害者访问特制 URL 的攻击者可利用此缺陷，将该受害者重定向至恶意站点。(CVE-2016-2512)

    * 在 Django 的 PBKDF2PasswordHasher 执行密码哈希的方式中发现时序攻击缺陷。
    通过旧版 PBKDF2PasswordHasher 进行哈希处理的密码使用更少的哈希迭代，因此允许攻击者根据登录请求中的时间差异枚举现有用户。
    (CVE-2016-2513)

    Red Hat 在此感谢 Django 项目报告这些问题。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2017:1597 公告中提及的漏洞的影响。

    OpenStack Identity 服务 (keystone) 通过跟踪用户及其允许的活动，对 OpenStack 用户进行身份验证和授权。Identity 服务支持多种形式的身份验证，包括用户名和密码凭据、基于令牌的系统以及 AWS 样式的登录。

    下列程序包已升级到更高的上游版本：openstack-keystone (10.0.1)。
    (BZ#1431715)

    安全修复：

    * 在 OpenStack Identity 服务的联合配置中发现授权检查缺陷 (keystone)。经过身份验证的联合用户可能请求对项目的权限，并可能无意间被授予所有相关角色，包括管理角色。(CVE-2017-2673)

    Red Hat 在此感谢 OpenStack 项目报告此问题。上游感谢原始报告者 Boris Bobrov (Mail.Ru)。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2017:0282 公告中提及的漏洞的影响。

    Oslo 并发库具有用于安全运行使用锁定机制的多线程、多进程应用程序的实用工具，以及用于运行外部进程的实用工具。

    OpenStack Compute 软件 (Nova) 启动和管理大型虚拟机网络，创建冗余且可缩放的云计算平台。Compute 提供编排云所需的软件、控制面板和 API，包括运行虚拟机实例，以及通过用户和项目控制访问。

    OpenStack Image Service (Glance) 为磁盘和服务器映像提供发现、注册和交付服务。该服务提供复制服务器图像或拍摄快照，并立即将其存储的功能。存储的映像可用作模板启动和运行新服务器的速度比安装服务器操作系统和单独配置其他服务更一致。

    OpenStack Block Storage (cinder) 管理块存储挂载以及此类挂载的块存储向实例的演示。后端物理存储可包括本地磁盘或连接到计算节点的光纤通道、iSCSI 和 NFS 挂载。此外，Block Storage 支持卷备份，以及用于临时保存和还原操作的快照。可通过 Block Storages 的 API 获得编程管理。

    安全修复：

    * 在 OpenStack 计算 (nova)、Block Storage (cinder) 和 Image (glance) 服务使用 qemu-img 时发现资源漏洞。非特权用户可通过上传恶意图像消耗计算主机上多达 4 GB 的 RAM。此缺陷可能会导致主机内存不足错误，并对其他正在运行的租户实例造成负面影响。
    oslo.concurrency 已更新，以支持进程限制（“prlimit”），这是修复此缺陷所必需的。
    (CVE-2015-5162)

    此问题的发现者为 Richard W.M。Jones (Red Hat)。

    错误修复：

    * qemu-img 调用不受 ulimit 的限制。oslo.concurrency 已更新，添加了对进程限制（“prlimit”）的支持，这是修复 CVE-2015-5162 安全漏洞所必需的。(BZ#1383415)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2017:1450 公告中提及的漏洞的影响。

    OpenStack Orchestration (heat) 是一种模板驱动的引擎，用于指定和部署计算、存储和 OpenStack 网络的配置。此服务还可用于将部署后操作自动化，从而允许自动配置基础设施、服务和应用程序。此外，Orchestration 可以与 Telemetry 警报集成，以对某些基础设施资源实施自动缩放。

    安全修复：

    * 在 OpenStack Orchestration (heat) 服务中发现信息泄漏漏洞。使用本地 URL 启动新堆栈会出现详细的错误消息，允许经身份验证的用户执行网络发现并泄露内部网络服务详细信息。(CVE-2016-9185)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2014:0089 公告中提及的漏洞的影响。

    openstack-keystone 程序包提供了 keystone，这是 OpenStack Identity 服务 API 的 Python 实现，可提供身份、令牌、目录和策略服务。

    已发现 keystone 中用于生成 EC2-style (Amazon Elastic Compute Cloud) 凭据的 ec2token API 在根据收到的信任范围内的令牌创建令牌时，可生成范围未限定为特定信任的令牌。远程攻击者可利用此缺陷检索可将其提升为所有信任者角色的权限的令牌。请注意，仅启用了 EC2 样式的验证的 OpenStack Identity 设置会受到影响。(CVE-2013-6391)

    Red Hat 在此感谢 OpenStack 项目的 Jeremy Stanley 报告此问题。上游感谢原始报告者 Steven Hardy (Red)。

    这些更新后的程序包已升级到上游版本 2013.2.1，该版本提供了对之前版本的多项缺陷补丁。
    (BZ#1045408)

    建议所有 openstack-keystone 用户升级到这些更新后的程序包，其中修正了这些问题。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2015:0044 公告中提及的漏洞的影响。

    OpenStack Networking (neutron) 是 API 驱动的可插拔、可扩展系统，用于为虚拟机配置网络服务。其主要功能是管理与虚拟机之间的连接。自 Red Hat Enterprise Linux OpenStack Platform 4.0 起，“neutron”取代“quantum”成为 OpenStack Networking 的核心组件。

    在 neutron 处理“dns_nameservers”参数的方式中发现拒绝服务缺陷。通过提供特制的“dns_nameservers”值，经身份验证的用户可利用此缺陷造成 neutron 服务崩溃。(CVE-2014-7821)

    Red Hat 在此感谢 OpenStack 项目报告此问题。
    上游感谢原始报告者 Henry Yamauchi、Charles Neill 和 Michael Xin (Rackspace)。

    建议所有 openstack-neutron 用户升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2017:0161 公告中提及的漏洞的影响。

    jQuery UI 是构建在 jQuery JavaScript 库之上的一组用户界面交互、效果、小组件和主题。

    安全修复：

    * 已发现 jQuery UI 的对话框功能的参数容易受到跨站脚本攻击。攻击者可利用此缺陷，在系统向用户显示对话框时，通过对话框来执行恶意脚本。(CVE-2016-7103)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 / 7 主机上安装的程序包受到 RHSA-2016:0456 公告中提及的多个漏洞影响。

    rh-ror41 集合提供 Ruby on Rails 版本 4.1。Ruby on Rails 是种适用于 web 应用程序开发的模型视图控制器 (MVC) 架构。

    已在 rubygem-actionview 中修正以下问题：

    在 Action View 组件搜索用于渲染的范本的方式中发现一个目录遍历缺陷。如果应用程序将不受信任的输入发送到“render”方法，未经认证的远程攻击者可利用此缺陷渲染非预期的文件，并可能执行任意代码。
    (CVE-2016-2097)

    在 Action View 组件搜索用于渲染的模板的方式中发现一个代码注入缺陷。如果应用程序将不受信任的输入发送到“render”方法，未经身份验证的远程攻击者可利用此缺陷执行任意代码。(CVE-2016-2098)

    Red Hat 在此感谢 Ruby on Rails 项目报告这些问题。上游感谢 CVE-2016-2097 的原始报告者 Jyoti Singh 和 Tobias Kraze (makandra)，以及 CVE-2016-2098 的原始报告者 Tobias Kraze (makandra) 和 joernchen (Phenoelit)。

    建议所有 rh-ror41 集合 rubygem-actionview 程序包用户升级到这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。必须重新启动所有正在运行且使用 rh-ror41 集合的应用程序才能使更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2017:0156 公告中提及的漏洞的影响。

    OpenStack Block Storage (cinder) 管理块存储挂载以及此类挂载的块存储向实例的演示。后端物理存储可包括本地磁盘或连接到计算节点的光纤通道、iSCSI 和 NFS 挂载。此外，Block Storage 支持卷备份，以及用于临时保存和还原操作的快照。可通过 Block Storages 的 API 获得编程管理。

    安全修复：

    * 在 Block Storage (cinder) 和服务使用 qemu-img 时发现资源漏洞。非特权用户可通过上传恶意图像消耗计算主机上多达 4 GB 的 RAM。
    此缺陷可能会导致主机内存不足错误，并对其他正在运行的租户实例造成负面影响。(CVE-2015-5162)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2016:2116 公告中提及的漏洞的影响。

    OpenStack 的文件共享服务 (manila) 提供了多种方法来轻松配置可由多个实例使用的共享文件系统。这些共享文件系统是根据预先存在的后端卷配置的。UI 组件为服务提供仪表板插件。

    安全修复：

    * 在 openstack-manila-ui 的“创建共享”表单所包含的“元数据”字段中发现跨站脚本缺陷。用户可注入恶意 HTML/JavaScript 代码，该代码随后会反映在“共享”概览中。经身份验证的远程非特权用户可利用此漏洞窃取会话 Cookie 并升级其权限。(CVE-2016-6519)

    Red Hat 在此感谢 SUSE 报告此问题。SUSE 感谢原始报告者 Niklaus Schiess。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 / 7 主机上安装的程序包受到 RHSA-2017:1162 公告中提及的漏洞的影响。

    Python 是一种解释型、交互式、面向对象的编程语言，支持模块、类、异常、高层次的动态数据类型，以及动态输入。python27 程序包提供稳定版本的 Python 2.7，其中包含大量适用于 MySQL 和 PostgreSQL 的其他实用工具及数据库连接器。

    python27 Software Collection 程序包已升级到版本 2.7.13，该版本提供了对之前版本的多项缺陷修复和增强。如需详细变更信息，请参阅可从“参考”部分链接的 Red Hat Software Collections 2.4 发行说明。（BZ#1402809、BZ#1344674、BZ#1413063）

    python27-python 组件中的安全修复：

    * Python 标准库 HTTP 客户端模块（如 httplib 或 urllib）在连接到 HTTPS 服务器时未执行 TLS/SSL 证书验证。中间人攻击者可以利用此缺陷劫持连接，并窃听或修改传输的数据。(CVE-2014-9365)

    注意：更新 Python 标准库以默认启用证书验证。有关此更改的详细信息，请参阅链接到“参考”部分的知识库文章 2039753。
    (BZ#1417838)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2015:0643 公告中提及的漏洞的影响。

    KVM（基于内核的虚拟机）是针对 AMD64 上的 Linux 以及 Intel 64 位系统的完全虚拟化解决方案。qemu-kvm-rhev 程序包为使用由 Red Hat Enterprise Linux OpenStack Platform 管理的环境中的 KVM 运行虚拟机提供了用户空间组件。

    已发现 Cirrus 的 blit 区域检查不足。
    特权客户机用户可利用此缺陷，在主机的 QEMU 进程地址空间中的 VRAM 分配的缓冲区边界以外写入攻击者提供的数据。(CVE-2014-8106)

    此问题由 Red Hat 的 Paolo Bonzini 发现。

    建议所有 qemu-kvm-rhev 用户升级到这些更新后的程序包，其中包含用于修正此问题的向后移植的修补程序。安装此更新后，关闭所有正在运行的虚拟机。关闭所有虚拟机后，重新启动它们才能使此更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2017:0880 公告中提及的漏洞的影响。

    V8 是 Google 的开源 JavaScript 引擎。V8 使用 C++ 编写，用于 Google 的开源浏览器 Google Chrome。V8 实现 ECMA-262 第 3 版中指定的 ECMAScript。

    安全修复：

    * 已发现当分配新的内存（Zone::New() 和 Zone::NewExpand()）时，V8 Zone 类中存在整数溢出缺陷。有能力操控大型区域的攻击者可造成应用程序崩溃，或可能以应用程序权限执行任意代码。(CVE-2016-1669)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 4 主机上安装的程序包受到 RHSA-2016:0625 公告中提及的多个漏洞影响。

    Samba 是服务器消息块 (SMB) 协议与相关通用 Internet 文件系统 (CIFS) 协议的开源实现，允许兼容 PC 的计算机共享文件、打印机和多种信息。

    安全修复：

    * 在 Security Account Manager Remote 协议 (MS-SAMR) 和本地安全机构（域策略）远程协议 (MS-LSAD) 中发现一个协议缺陷，公开称为 Badlock。中间人攻击者可利用客户端针对服务器初始化的任何经认证的 DCE/RPC 连接，针对服务器上的 SAMR 或 LSA 服务冒充经认证的用户。因此，攻击者能够获得 Security Account Manager 数据库的读/写权限，并利用此问题泄露该数据库中的所有密码或其他任何潜在的敏感信息。
    (CVE-2016-2118)

    * 在 Samba 的 NTLMSSP 认证实现中发现多个缺陷。未经认证的中间人攻击者可利用此缺陷，清除连接的加密和完整性标记，进而造成以纯文本传输数据。即使针对该连接明确要求加密，攻击者也可强制客户端或服务器以纯文本发送数据。
    (CVE-2016-2110)

    * 发现配置为域控制器的 Samba 会使用伪造的计算机名称，建立与机器的安全通信通道。能够观察网络流量的远程攻击者可利用此缺陷，取得关于伪造机器的会话相关信息。(CVE-2016-2111)

    Red Hat 在此感谢 Samba 项目报告这些问题。上游感谢 CVE-2016-2118 和 CVE-2016-2110 的原始报告者 Stefan Metzmacher (SerNet)。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2013:1197 公告中提及的漏洞的影响。

    OpenStack Swift (http://swift.openstack.org) 是一种高度可用、分布式、最终一致的对象/blob 存储。

    OpenStack Swift 中的拒绝服务缺陷允许攻击者以对象 tombstone 填充对象服务器。这可导致来自合法用户的后续请求花费过多时间。
    (CVE-2013-4155)

    此问题的发现者为 Red Hat 的 Peter Portante。

    建议所有 openstack-swift 用户升级到这些更新后的程序包，其中修复了此问题。安装此更新后，OpenStack Swift 服务将会自动重新启动。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2013:1199 公告中提及的多个漏洞的影响。

    openstack-nova 程序包提供 OpenStack Compute (Nova)，后者可为配置、管理和使用虚拟机实例提供服务。

    已发现通过 RHSA-2013:0657 发布且针对 CVE-2013-1664 和 CVE-2013-1665 的补丁未完全修正 Nova 使用的可扩展标记语言 (XML) 解析器中的问题。远程攻击者可利用此缺陷向 Nova API 发送特制的请求，从而导致 Nova 消耗过量的 CPU 和内存，或可能崩溃。
    (CVE-2013-4179)

    在 Nova 处理网络源安全组策略更新的方式中发现一个拒绝服务缺陷。经过身份验证的用户可发送大量服务器创建操作，从而造成 nova-network 失去响应。(CVE-2013-4185)

    在 Nova 处理虚拟硬件模板（风格）的方式中发现信息泄露缺陷和资源限制绕过。租户可利用这些漏洞显示和启动其他租户的风格，并绕过通过 os-flavor-access:is_public 属性强制执行的资源限制。(CVE-2013-2256)

    已发现在某些配置中，console-log 中的某些消息可造成 nova-compute 失去响应，从而导致拒绝服务。(CVE-2013-4261)

    Red Hat 在此感谢 OpenStack 项目报告 CVE-2013-2256 和 CVE-2013-4185。上游感谢 CVE-2013-2256 的原始报告者 hzrandd (NetEase)、CVE-2013-4185 的原始报告者 Vishvananda Ishaya (Nebula)。上游也感谢 Ken'ichi Ohmichi (NEC) 提供为 CVE-2013-2256 修正的补丁。

    CVE-2013-4179 问题由 Red Hat 产品安全团队的 Grant Murphy 发现， CVE-2013-4261 由 Red Hat 的 Jaroslav Henner 发现。

    此更新还修复了 openstack-nova 中的许多缺陷。

    此外，openstack-nova 已衍合到最新的稳定版本 2013.1.3。(BZ#993100)

    建议所有 openstack-nova 用户升级到这些更新后的程序包，其中修正了这些问题。安装更新程序包后，正在运行的 Nova 服务将自动重新启动。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2014:0994 公告中提及的多个漏洞的影响。

    OpenStack Identity 服务 (keystone) 通过跟踪用户及其允许的活动，对 OpenStack 用户进行身份验证和授权。
    Identity 服务支持多种形式的身份验证，包括用户名和密码凭据、基于令牌的系统以及 AWS 样式的登录。

    在 keystone 的链式委派中发现缺陷。从信任或 OAuth 令牌创建委派的受信者可滥用身份模拟，绕过强制实施的范围，这可能使他们获得提升的权限来访问信任者的项目和角色。
    (CVE-2014-3476)

    在 keystone 处理信任的方式中发现缺陷。如果信任者具有所请求项目的必要角色，则受信者可使用超出范围的项目 ID 获取未经授权的项目访问权限。(CVE-2014-3520)

    Red Hat 在此感谢 OpenStack 项目报告 CVE-2014-3520；上游感谢原始报告者 Jamie Lennox (Red Hat)。CVE-2014-3476 问题由 Steven Hardy (Red Hat) 发现。

    建议所有 openstack-keystone 用户升级到这些更新后的程序包，其中修正了这些问题。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 5 主机上安装的程序包受到 RHSA-2011:0434 公告中提及的多个漏洞影响。

    Red Hat Network Satellite (RHN Satellite) 是基于 Linux 的基础架构的系统管理工具。它允许通过单一集中化工具配置、远程管理和监控多项 Linux 部署。

    RHN Satellite 在为通道配置程序包群组 (comps.xml) 文件时，不正确地暴露过时的 XML-RPC API。经认证的用户可利用此缺陷获取 RHN Satellite 服务器进程可访问的任意文件的访问权限，并阻止客户端执行特定的 yum 操作。(CVE-2010-1171)

    在 RHN Satellite 重写特定 URL 的方式中发现一个缺陷。未经认证的用户可使用特别构建的 HTTP 请求来获取有关运行 RHN Satellite 的主机系统的敏感信息。
    攻击者也可将 RHN Satellite 用作分布式拒绝服务工具，通过特制的 HTTP 请求强制其在任意 IP 地址连接至任意服务。(CVE-2009-0788)

    注意：请参阅下方“解决方案”部分，了解完全解决 CVE-2009-0788 问题可能需要的手动步骤。

    建议 RHN Satellite 5.3 和 5.4 用户升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。必须重新启动 RHN Satellite Server (rhn-satellite restart) 才能使此更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 5 主机上安装的程序包受到 RHSA-2010:0581 公告中提及的漏洞影响。

    Apache Tomcat 是适用于 Java Servlet 和 JavaServer Pages (JSP) 技术的 servlet 容器。

    已在 Tomcat 处理 HTTP 请求中的 Transfer-Encoding 标头的方式中发现一个缺陷。特别构建的 HTTP 请求可阻止 Tomcat 对所有后续 HTTP 请求发送回复，或使 Tomcat 返回被截断的回复，或返回内含其他用户请求的相关数据的回复。(CVE-2010-2227)

    Tomcat 用户应升级这些更新后的程序包，其中包含用于解决此问题的向后移植的修补程序。必须重新启动 Tomcat，才能使此更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2011:1303 公告中提及的漏洞的影响。

    jbossws-common 程序包提供 JBoss Web Services Native，这是包含在 JBoss Enterprise Web Platform 中的一款 Web 服务框架。它实现了 JAX-WS 规范。

    已发现当处理文档类型定义 (DTD) 时，JBoss Web Services Native 未正确防止递归实体解析。远程攻击者可利用此缺陷，通过向部署的 Web 服务发送特别构建的 HTTP POST 请求，导致在托管该服务的系统中消耗过量 CPU 和内存。如果重复该攻击以消耗所有可用网络套接字，服务器将不可用。此缺陷不影响使用 JBoss Web Services CXF（由 jbossas-ws-cxf-ewp 提供）的系统。(CVE-2011-1483)

    警告：应用此更新之前，请备份 JBoss Enterprise Web Platform 的 jboss-as-web/server/[PROFILE]/deploy/ 目录，以及所有其他自定义配置文件。

    JBoss Web Services Native 用户应升级此更新后的程序包，其中修正了此问题。必须重新启动 JBoss 服务器进程以使此更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 5 主机上安装的程序包受到 RHSA-2011:1803 公告中提及的漏洞影响。

    Enterprise Web Platform 是 JBoss Enterprise Application Platform 的精简配置文件，适用于具有轻型、富 Java 应用程序的中型工作负载。OpenID4Java 允许您在 Java 应用程序中实现 OpenID 认证。OpenID4Java 为技术预览。

    适用于 Red Hat Enterprise Linux 5 的此版 JBoss Enterprise Web Platform 5.1.2 可替代 JBoss Enterprise Web Platform 5.1.1。

    这些更新后的程序包中包含缺陷补丁和增强。JBoss Enterprise Web Platform 是 JBoss Enterprise Application Platform 的子集。有关这些最重要的变更的信息，用户可参阅 JBoss Enterprise Application Platform 5.1.2 发行说明。很快将可通过 https://docs.redhat.com/docs/en-US/index.html 获得发行说明

    此版本还修复了以下安全问题：

    已发现未检查 OpenID4Java 的属性交换 (AX) 扩展，以确保属性已签名。如果 AX 用于接收应用程序仅信任身份提供程序所断言的信息，远程攻击者可利用此缺陷通过特别构建的请求执行中间人攻击并破坏信息的完整性。默认情况下，仅 JBoss Seam openid 示例应用程序使用 OpenID4Java。(CVE-2011-4314)

    警告：应用此更新之前，请备份 JBoss Enterprise Web Platform 的 jboss-as-web/server/[PROFILE]/deploy/ 目录及任何其他自定义配置文件。

    建议 Red Hat Enterprise Linux 5 上 JBoss Enterprise Web Platform 5.1.1 的所有用户都升级这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:8723 公告中提及的多个漏洞影响。

    Mozilla Firefox 是一个开源 Web 浏览器，旨在满足标准合规性、性能和可移植性要求。

    安全修复：

    * firefox：thunderbird：攻击者可在浏览器中利用“历史记录”界面造成拒绝服务条件 (CVE-2024-10464)

    * firefox：thunderbird：在 multipart/x-mixed-replace 响应中忽略 Content-Disposition 而导致的 XSS 漏洞 (CVE-2024-10461)

    * firefox：thunderbird：通过 embed 或 object 元素导致的权限泄漏漏洞 (CVE-2024-10458)

    * firefox：thunderbird：具有辅助功能的布局中包含释放后使用漏洞 (CVE-2024-10459)

    * firefox：thunderbird：已修复 Firefox 132、Thunderbird 132、Firefox ESR 128.4 和 Thunderbird 128.4 中的内存安全错误 (CVE-2024-10467)

    * firefox：thunderbird：跨选项卡持续显示剪贴板粘贴按钮 (CVE-2024-10465)

    * firefox：DOM 推送订阅消息可使 Firefox 挂起 (CVE-2024-10466)

    * firefox：thunderbird：跨源视频帧泄漏 (CVE-2024-10463)

    * firefox：thunderbird：可利用长 URL 来欺骗权限来源提示（CVE-2024-10462）

    * firefox：thunderbird：显示的外部协议处理程序提示来源会令人混淆 (CVE-2024-10460)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:8729 公告中提及的多个漏洞影响。

    Mozilla Firefox 是一个开源 Web 浏览器，旨在满足标准合规性、性能和可移植性要求。

    安全修复：

    * firefox：thunderbird：攻击者可在浏览器中利用“历史记录”界面造成拒绝服务条件 (CVE-2024-10464)

    * firefox：thunderbird：在 multipart/x-mixed-replace 响应中忽略 Content-Disposition 而导致的 XSS 漏洞 (CVE-2024-10461)

    * firefox：thunderbird：通过 embed 或 object 元素导致的权限泄漏漏洞 (CVE-2024-10458)

    * firefox：thunderbird：具有辅助功能的布局中包含释放后使用漏洞 (CVE-2024-10459)

    * firefox：thunderbird：已修复 Firefox 132、Thunderbird 132、Firefox ESR 128.4 和 Thunderbird 128.4 中的内存安全错误 (CVE-2024-10467)

    * firefox：thunderbird：跨选项卡持续显示剪贴板粘贴按钮 (CVE-2024-10465)

    * firefox：DOM 推送订阅消息可使 Firefox 挂起 (CVE-2024-10466)

    * firefox：thunderbird：跨源视频帧泄漏 (CVE-2024-10463)

    * firefox：thunderbird：可利用长 URL 来欺骗权限来源提示（CVE-2024-10462）

    * firefox：thunderbird：显示的外部协议处理程序提示来源会令人混淆 (CVE-2024-10460)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:8726 公告中提及的多个漏洞影响。

    Mozilla Firefox 是一个开源 Web 浏览器，旨在满足标准合规性、性能和可移植性要求。

    安全修复：

    * firefox：thunderbird：攻击者可在浏览器中利用“历史记录”界面造成拒绝服务条件 (CVE-2024-10464)

    * firefox：thunderbird：在 multipart/x-mixed-replace 响应中忽略 Content-Disposition 而导致的 XSS 漏洞 (CVE-2024-10461)

    * firefox：thunderbird：通过 embed 或 object 元素导致的权限泄漏漏洞 (CVE-2024-10458)

    * firefox：thunderbird：具有辅助功能的布局中包含释放后使用漏洞 (CVE-2024-10459)

    * firefox：thunderbird：已修复 Firefox 132、Thunderbird 132、Firefox ESR 128.4 和 Thunderbird 128.4 中的内存安全错误 (CVE-2024-10467)

    * firefox：thunderbird：跨选项卡持续显示剪贴板粘贴按钮 (CVE-2024-10465)

    * firefox：DOM 推送订阅消息可使 Firefox 挂起 (CVE-2024-10466)

    * firefox：thunderbird：跨源视频帧泄漏 (CVE-2024-10463)

    * firefox：thunderbird：可利用长 URL 来欺骗权限来源提示（CVE-2024-10462）

    * firefox：thunderbird：显示的外部协议处理程序提示来源会令人混淆 (CVE-2024-10460)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:8724 公告中提及的多个漏洞影响。

    Mozilla Firefox 是一个开源 Web 浏览器，旨在满足标准合规性、性能和可移植性要求。

    安全修复：

    * firefox：thunderbird：攻击者可在浏览器中利用“历史记录”界面造成拒绝服务条件 (CVE-2024-10464)

    * firefox：thunderbird：在 multipart/x-mixed-replace 响应中忽略 Content-Disposition 而导致的 XSS 漏洞 (CVE-2024-10461)

    * firefox：thunderbird：通过 embed 或 object 元素导致的权限泄漏漏洞 (CVE-2024-10458)

    * firefox：thunderbird：具有辅助功能的布局中包含释放后使用漏洞 (CVE-2024-10459)

    * firefox：thunderbird：已修复 Firefox 132、Thunderbird 132、Firefox ESR 128.4 和 Thunderbird 128.4 中的内存安全错误 (CVE-2024-10467)

    * firefox：thunderbird：跨选项卡持续显示剪贴板粘贴按钮 (CVE-2024-10465)

    * firefox：DOM 推送订阅消息可使 Firefox 挂起 (CVE-2024-10466)

    * firefox：thunderbird：跨源视频帧泄漏 (CVE-2024-10463)

    * firefox：thunderbird：可利用长 URL 来欺骗权限来源提示（CVE-2024-10462）

    * firefox：thunderbird：显示的外部协议处理程序提示来源会令人混淆 (CVE-2024-10460)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:8719 公告中提及的多个漏洞影响。

    Red Hat Satellite 是一个系统管理解决方案，它使组织能够配置和维护其系统，而无需为自身服务器或其他客户端系统提供公共 Internet 访问。该解决方案可执行预定义标准操作环境的设置和配置管理。
    安全修复：

    * mosquitto：发送特定序列的数据包可触发内存泄漏 (CVE-2024-8376)
    * foreman：从模板对整个数据库进行只读访问 (CVE-2024-8553)

    建议 Red Hat Satellite 用户升级至这些更新后的程序包，其中修复了这些问题。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:8718 公告中提及的多个漏洞影响。

    Red Hat Satellite 是一个系统管理解决方案，它使组织能够配置和维护其系统，而无需为自身服务器或其他客户端系统提供公共 Internet 访问。该解决方案可执行预定义标准操作环境的设置和配置管理。
    安全修复：

    * mosquitto：发送特定序列的数据包可触发内存泄漏 (CVE-2024-8376)
    * foreman：从模板对整个数据库进行只读访问 (CVE-2024-8553)

    建议 Red Hat Satellite 用户升级至这些更新后的程序包，其中修复了这些问题。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:8722 公告中提及的多个漏洞影响。

    Mozilla Firefox 是一个开源 Web 浏览器，旨在满足标准合规性、性能和可移植性要求。

    安全修复：

    * firefox：thunderbird：攻击者可在浏览器中利用“历史记录”界面造成拒绝服务条件 (CVE-2024-10464)

    * firefox：thunderbird：在 multipart/x-mixed-replace 响应中忽略 Content-Disposition 而导致的 XSS 漏洞 (CVE-2024-10461)

    * firefox：thunderbird：通过 embed 或 object 元素导致的权限泄漏漏洞 (CVE-2024-10458)

    * firefox：thunderbird：具有辅助功能的布局中包含释放后使用漏洞 (CVE-2024-10459)

    * firefox：thunderbird：已修复 Firefox 132、Thunderbird 132、Firefox ESR 128.4 和 Thunderbird 128.4 中的内存安全错误 (CVE-2024-10467)

    * firefox：thunderbird：跨选项卡持续显示剪贴板粘贴按钮 (CVE-2024-10465)

    * firefox：DOM 推送订阅消息可使 Firefox 挂起 (CVE-2024-10466)

    * firefox：thunderbird：跨源视频帧泄漏 (CVE-2024-10463)

    * firefox：thunderbird：可利用长 URL 来欺骗权限来源提示（CVE-2024-10462）

    * firefox：thunderbird：显示的外部协议处理程序提示来源会令人混淆 (CVE-2024-10460)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2024:8727 公告中提及的多个漏洞影响。

    Mozilla Firefox 是一个开源 Web 浏览器，旨在满足标准合规性、性能和可移植性要求。

    安全修复：

    * firefox：thunderbird：攻击者可在浏览器中利用“历史记录”界面造成拒绝服务条件 (CVE-2024-10464)

    * firefox：thunderbird：在 multipart/x-mixed-replace 响应中忽略 Content-Disposition 而导致的 XSS 漏洞 (CVE-2024-10461)

    * firefox：thunderbird：通过 embed 或 object 元素导致的权限泄漏漏洞 (CVE-2024-10458)

    * firefox：thunderbird：具有辅助功能的布局中包含释放后使用漏洞 (CVE-2024-10459)

    * firefox：thunderbird：已修复 Firefox 132、Thunderbird 132、Firefox ESR 128.4 和 Thunderbird 128.4 中的内存安全错误 (CVE-2024-10467)

    * firefox：thunderbird：跨选项卡持续显示剪贴板粘贴按钮 (CVE-2024-10465)

    * firefox：DOM 推送订阅消息可使 Firefox 挂起 (CVE-2024-10466)

    * firefox：thunderbird：跨源视频帧泄漏 (CVE-2024-10463)

    * firefox：thunderbird：可利用长 URL 来欺骗权限来源提示（CVE-2024-10462）

    * firefox：thunderbird：显示的外部协议处理程序提示来源会令人混淆 (CVE-2024-10460)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:8720 公告中提及的多个漏洞影响。

    Mozilla Firefox 是一个开源 Web 浏览器，旨在满足标准合规性、性能和可移植性要求。

    安全修复：

    * firefox：thunderbird：攻击者可在浏览器中利用“历史记录”界面造成拒绝服务条件 (CVE-2024-10464)

    * firefox：thunderbird：在 multipart/x-mixed-replace 响应中忽略 Content-Disposition 而导致的 XSS 漏洞 (CVE-2024-10461)

    * firefox：thunderbird：通过 embed 或 object 元素导致的权限泄漏漏洞 (CVE-2024-10458)

    * firefox：thunderbird：具有辅助功能的布局中包含释放后使用漏洞 (CVE-2024-10459)

    * firefox：thunderbird：已修复 Firefox 132、Thunderbird 132、Firefox ESR 128.4 和 Thunderbird 128.4 中的内存安全错误 (CVE-2024-10467)

    * firefox：thunderbird：跨选项卡持续显示剪贴板粘贴按钮 (CVE-2024-10465)

    * firefox：DOM 推送订阅消息可使 Firefox 挂起 (CVE-2024-10466)

    * firefox：thunderbird：跨源视频帧泄漏 (CVE-2024-10463)

    * firefox：thunderbird：可利用长 URL 来欺骗权限来源提示（CVE-2024-10462）

    * firefox：thunderbird：显示的外部协议处理程序提示来源会令人混淆 (CVE-2024-10460)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
210183	RHEL 7：qemu-kvm-rhev (RHSA-2016:1654)	high
210182	RHEL 6：emu-kvm-rhev (RHSA-2014:0434)	high
210181	RHEL 6 / 7：rh-mariadb100-mariadb (RHSA-2016:1604)	high
210180	RHEL 6：openstack-keystone (RHSA-2014:0113)	medium
210179	RHEL 7：qemu-kvm-rhev (RHSA-2017:0982)	critical
210178	RHEL 6：openstack-swift (RHSA-2014:0367)	high
210177	RHEL 6 / 7：rh-mariadb100-mariadb (RHSA-2016:2927)	critical
210176	RHEL 7：python-defusedxml 和 python-pysaml2 (RHSA-2017:0936)	high
210175	RHEL 6 / 7 : rh-mysql56-mysql (RHSA-2016:1601)	high
210174	RHEL 6：openstack-nova (RHSA-2014:1689)	critical
210173	RHEL 6/7：qemu-kvm-rhev (RHSA-2015:1004)	critical
210172	RHEL 5：JBoss Enterprise Web Platform 5.1.0 (RHSA-2010:0961)	high
210171	RHEL 6：openstack-swift (RHSA-2012:1379)	critical
210170	RHEL 6：openstack-keystone (RHSA-2012:1557)	critical
210169	RHEL 6：openstack-swift (RHSA-2015:0836)	medium
210168	RHEL 4：php (RHSA-2014:1825)	critical
210167	RHEL 6 / 7：python27 (RHSA-2015:1064)	critical
210166	RHEL 6：CloudForms System Engine 1.1.2 更新（中危） (RHSA-2013:0547)	medium
210165	RHEL 6：emu-kvm-rhev (RHSA-2016:0085)	high
210164	RHEL 7：qemu-kvm-rhev (RHSA-2017:0333)	critical
210163	RHEL 7：python-django (RHSA-2016:0505)	medium
210162	RHEL 7 : openstack-keystone (RHSA-2017:1597)	high
210161	RHEL 7：openstack-cinder、openstack-glance 和 openstack-nova (RHSA-2017:0282)	high
210160	RHEL 7：openstack-heat (RHSA-2017:1450)	medium
210159	RHEL 6：openstack-keystone (RHSA-2014:0089)	critical
210158	RHEL 6：openstack-neutron (RHSA-2015:0044)	medium
210157	RHEL 7：python-XStatic-jquery-ui (RHSA-2017:0161)	medium
210156	RHEL 6/7：rh-ror41 (RHSA-2016:0456)	high
210155	RHEL 7：openstack-cinder (RHSA-2017:0156)	high
210154	RHEL 7：openstack-manila-ui (RHSA-2016:2116)	medium
210153	RHEL 6 / 7：python27 (RHSA-2017:1162)	critical
210152	RHEL 7：qemu-kvm-rhev (RHSA-2015:0643)	high
210151	RHEL 7：v8 (RHSA-2017:0880)	high
210150	RHEL 4 : samba (RHSA-2016:0625)	high
210149	RHEL 6：openstack-swift (RHSA-2013:1197)	medium
210148	RHEL 6：openstack-nova (RHSA-2013:1199)	high
210147	RHEL 6：openstack-keystone (RHSA-2014:0994)	critical
210146	RHEL 5：Red Hat Network Satellite 安全更新（中危）(RHSA-2011:0434)	high
210145	RHEL 5：tomcat5 和 tomcat6 (RHSA-2010:0581)	medium
210144	RHEL 6：jbossws-common (RHSA-2011:1303)	high
210143	RHEL 5：JBoss Enterprise Web Platform 5.1.2 更新（低危）(RHSA-2011:1803)	medium
210033	RHEL 8：firefox (RHSA-2024:8723)	high
210032	RHEL 8：firefox (RHSA-2024:8729)	high
210031	RHEL 9：firefox (RHSA-2024:8726)	high
210030	RHEL 8：firefox (RHSA-2024:8724)	high
210029	RHEL 8：Satellite 6.15.4.2 异步更新（重要） (RHSA-2024:8719)	high
210028	RHEL 8：Satellite 6.14.4.3 异步更新（重要） (RHSA-2024:8718)	high
210027	RHEL 8：firefox (RHSA-2024:8722)	high
210026	RHEL 7：firefox (RHSA-2024:8727)	high
210025	RHEL 9：firefox (RHSA-2024:8720)	high

检测

Nessus 的 Red Hat Local Security Checks 系列

high

high

high

medium

critical

high

critical

high

high

critical

critical

high

critical

critical

medium

critical

critical

medium

high

critical

medium

high

high

medium

critical

medium

medium

high

high

medium

critical

high

high

high

medium

high

critical

high

medium

high

medium

high

high

high

high

high

high

high

high

high