根据其服务器响应头，所安装的 Hiawatha 版本低于 6.5。- str2int 函数中存在整数溢出漏洞，可导致拒绝服务或可能执行任意代码。

根据其服务器响应头，所安装的 Hiawatha 版本低于 3.6。对 URL 内恶意字符的处理中存在一个缺陷，具有不明影响。

根据其服务器响应头，所安装的 Hiawatha 版本低于 1.0b。“setuid”函数中存在一个缺陷，可允许本地攻击者获取提升的权限。

根据其服务器响应头，所安装的 Hiawatha 版本低于 8.8.1。Tomahawk 的“poll”函数中存在一个缺陷，可导致拒绝服务。

根据其服务器响应头，所安装的 Hiawatha 版本低于 8.8。处理混合大小写输入时存在缺陷，攻击者可利用这一缺陷绕过 DenyBody 规则。

根据其服务器响应头，所安装的 Hiawatha 版本低于 8.5。“select”函数中存在一个在处理大量同时连接时触发的缺陷，可导致拒绝服务。

远程主机正在运行 Hiawatha Web 服务器，这是一个强调安全性的开源 Web 服务器。

远程主机上运行的似乎是 Fix Pack 8.5.5 之前的 IBM WebSphere Application Server 8.5因此可能受以下漏洞的影响：

- GSKIT 组件中的 TLS 协议容易受到明文恢复攻击。（CVE-2013-0169、PM85211）

- WS-Security 运行时包含缺陷，特别构建的 SOAP 请求可能触发该缺陷，从而执行任意代码。（CVE-2013-0482、PM76582）

- 存在与 OAuth 相关的缺陷，可能允许远程攻击者获取他人的凭据。
 （CVE-2013-0597、PM85834、PM87131）

- 存在与反序列化期间触发的 OpenJPA 有关的缺陷，可允许远程攻击者写入文件系统，并可能执行任意代码。（CVE-2013-1768、PM86780、PM86786、PM86788、PM86791）

- 存在与管理控制台有关的不明跨站脚本漏洞。（CVE-2013-2967、PM78614）

- 存在一种不明漏洞。(CVE-2013-2975)

- 存在一个与管理控制台不正确缓存有关的信息泄露漏洞。
 （CVE-2013-2976、PM79992）

- UNIX 平台中存在一个进程初始化不正确缺陷，本地攻击者可利用此缺陷执行任意命令。（CVE-2013-3024、PM86245）

根据 Web 服务器标题，远程 Web 服务器上托管的 HP System Management Homepage (SMH) 版本低于 7.2.1.0。因此，它受到以下漏洞的影响：

- 由于在密码块链接 (CBC) 模式下运行时初始化向量 (IV) 的选择方式中存在缺陷，SSL 3.0 和 TLS 1.0 协议存在被称为 BEAST 的信息泄露漏洞。中间人攻击者可利用此缺陷，通过对 HTTPS 会话进行块式选择边界攻击 (BCBA)，并结合使用 HTML5 WebSocket API、Java URLConnection API 或 Silverlight WebClient API 的 JavaScript 代码，获得明文 HTTP 标头数据。(CVE-2011-3389)

- ”apachectl“实用工具可能会通过”envvars“文件在 LD_LIBRARY_PATH 中接收到零长度目录名。本地攻击者访问此工具后可以利用它加载恶意的动态共享对象 (DSO)，导致执行任意代码。
 (CVE-2012-0883)

- 许多不明错误可引起远程拒绝服务攻击。（CVE-2012-2110、CVE-2012-2329、CVE-2012-2336、CVE-2013-2357、CVE-2013-2358、CVE-2013-2359、CVE-2013-2360）

- 针对 CVE-2012-1823 的补丁不会完全修正 CGI 查询参数漏洞。PHP 源代码和代码执行仍然可能被泄露。
 请注意只有 PHP 用在基于 CGI 的配置时，才可能利用此漏洞。无法利用含“mod_php”的 Apache 配置。
 （CVE-2012-2311、CVE-2012-2335）

- 存在不明错误，可引起未经授权的访问。（CVE-2012-5217、CVE-2013-2355）

- 存在不明错误，可引起敏感信息泄露。（CVE-2013-2356、CVE-2013-2363）

- 存在不明错误，可导致跨站脚本攻击。(CVE-2013-2361)

- 存在不明错误，可允许本地攻击者造成拒绝服务情况。
 （CVE-2013-2362、CVE-2013-2364）

- 存在尚未识别的漏洞，可能造成拒绝服务情况。(CVE-2013-4821)

根据其标题，远程主机上运行的 Apache 2.4.x 版本低于 2.4.5。因此，它可能会受到以下漏洞的影响：

  - 由于“mod_dav”模块关系到合并请求，因而存在拒绝服务漏洞。
    (CVE-2013-1896)

  - 存在一个与“mod_session_dbd”模块、标记和会话保存相关的错误，会造成不明影响。
    (CVE-2013-2249)

请注意，Nessus 并未对这些问题进行实际测试，而是依赖服务器标题栏中的版本。

远程主机上运行的似乎是 Fix Pack 29 之前的 IBM WebSphere Application Server 7.0 版。因此，它可能会受到以下漏洞的影响：

- GSKIT 组件中的 TLS 协议容易受到明文恢复攻击。（CVE-2013-0169、PM85211）

- WS-Security 运行时包含缺陷，特别构建的 SOAP 请求可能触发该缺陷，从而执行任意代码。（CVE-2013-0482、PM76582）

- 存在一个拒绝服务漏洞，由使用 WebSphere Identity Manager (WIM) 时 localOS 注册表上的缓冲区溢出造成。（CVE-2013-0541、PM74909）

- 存在与管理控制台有关的不明跨站脚本漏洞。（CVE-2013-0542、CVE-2013-2967、PM78614、PM81846）

- 存在一个与“本地操作系统注册表”有关的验证缺陷，可能允许远程攻击者绕过安全。（CVE-2013-0543、PM75582）

- 管理控制台中存在一个通过“PARAMETER”参数造成的目录遍历漏洞。
 （CVE-2013-0544、PM82468）

- 存在与 OAuth 相关的缺陷，可能允许远程攻击者获取他人的凭据。
 （CVE-2013-0597、PM85834、PM87131）

- 存在一个在反序列化期间触发的与 OpenJPA 有关的缺陷，可能允许远程攻击者写入文件系统并可能执行任意代码。（CVE-2013-1768、PM86780、PM86786、PM86788、PM86791）

- 存在一个与管理控制台的错误缓存有关的信息泄露问题。
 （CVE-2013-2976、PM79992）

- 存在一个用户提供的输入验证错误，可允许实施跨站请求 (CSRF) 攻击。（CVE-2013-3029、PM88746）

根据其标题，远程主机上运行的 Apache 2.2.x 版本低于 2.2.25。因此，它可能会受到以下漏洞的影响：

-“RewriteLog”函数存在漏洞，未能清洁转义序列以防止被写入而记录文件，可能导致执行任意的指令。(CVE-2013-1862)

- 由于“mod_dav”模块关系到合并请求，因而存在拒绝服务漏洞。
 (CVE-2013-1896)

请注意，Nessus 并未对这些问题进行实际测试，而是依赖服务器标题栏中的版本。

根据其标题，远程主机上运行的 Apache 2.0.x 版本低于 2.0.65。因此，它受到多个漏洞的影响：

- 存在于字节范围过滤器的漏洞，可能遭受拒绝服务。(CVE-2011-3192)

- “mod_proxy”中存在一个缺陷，即，其在反向代理配置中未正确与“RewriteRule”和“ProxyPassMatch”进行交互。(CVE-2011-3368)

- 存在一个权限升级漏洞，该漏洞与“mod_setenvif”模块的“ap_pregsub”函数中通过 .htaccess 文件导致的基于堆的缓冲区溢出有关。
 (CVE-2011-3607)

- 记分板共享内存中存在一个本地安全绕过漏洞，可允许子进程造成父进程崩溃。
 (CVE-2012-0031)

- 未指定自定义 ErrorDocument 时，状态代码 400 中存在一个缺陷，可泄露“httpOnly”Cookie。(CVE-2012-0053)

-“RewriteLog”函数中存在一个缺陷，即，该函数无法审查向日志文件写入的转义序列，这可导致执行任意命令。
 (CVE-2013-1862)

请注意，远程 Web 服务器可能不会实际受到这些漏洞的影响。Nessus 不会试着确定受影响的模块是否在使用中，也不会对问题本身做测试。

根据其标题，远程主机上的 Lotus Domino 版本为低于 8.5.3 FP4 的 8.5.x。因此，它受到以下漏洞的影响：

- 存在一个与“Autonomy KeyView”文件解析器有关的错误，可导致任意代码执行。
 (CVE-2012-6277)

- 存在一个内存泄漏错误，可允许攻击者导致应用程序崩溃。(CVE-2013-0486)

- 存在一个与限时认证凭据和 Java 控制台有关的错误，可允许经认证的用户提升权限。
 (CVE-2013-0487)

远程主机上运行的 GlassFish Server 版本受到多种漏洞影响：

  - admin 和 rest 接口中存在跨站脚本 (XSS) 漏洞。这些漏洞允许在 GlassFish 的上下文中运行 JavaScript，可能导致经过身份验证用户的凭据失窃。（CVE-2013-1508、CVE-2013-1515）

  - REST 接口中存在跨站请求伪造 (CSRF) 漏洞。经认证的用户可能会受到诱骗查看利用此漏洞的网页。

  - 存在影响机密性的 JSF 源暴露漏洞。

根据其标题，远程主机上的 IBM HTTP 服务器版本为 5.3.0。因此，它可能受到不明命令执行漏洞的影响。此问题仅会影响 IBM HTTP Server for z/OS。

请注意，Nessus 未实际测试此问题，而是依赖服务器标题中的版本。

另请注意，Nessus 未尝试确定是否已应用“PTF UK90469'”修补程序或更新的修补程序。如果已应用了修补程序，请将其视为误报。

根据其服务器响应标头，安装的 nginx 版本为 1.1.4 到 1.2.8、1.3.x，或是低于 1.4.1 的 1.4.x。因此，该主机受到多个漏洞的影响：

  - “ngx_http_parse.c”中基于堆栈的缓冲区溢出可能允许远程攻击者通过特别构建的 HTTP 请求来执行任意代码或触发拒绝服务条件。此漏洞仅影响高于或等于 1.3.9 且低于 1.4.1 的版本。(CVE-2013-2028)

  - “ngx_http_parse.c”中的内存泄露漏洞会影响对不受信任的上游服务器使用“proxy_pass”的服务器。远程攻击者可通过特别构建的 HTTP 请求来触发此问题。
    失败的尝试可能导致拒绝服务情况。(CVE-2013-2070)

根据其服务器响应头，安装的 nginx 版本为 1.1.x，高于或等于 1.1.4，或为 1.2.x，低于 1.2.9。因此，当使用不受信任的上游服务器的“proxy_pass”时，它受到“ngx_http_proxy_module.c”中内存泄露漏洞的影响。 

通过发送特别构建的请求，攻击者可能可以获取工作进程内存的访问权限或触发拒绝服务情况。

根据 Web 服务器的标题，远程 Web 服务器上托管的 HP System Management Homepage (SMH) 版本为低于 7.2.0.14 的版本，因此据报告，它受到与向“/proxy/DataValidation”发出的请求中的“iprange”参数相关的代码执行漏洞的影响

请注意，成功利用需要启用匿名访问。

远程主机上安装的 Tomcat 版本低于 7.0.40。因此，它受到 fixed_in_apache_tomcat_7.0.40_security-7 公告中提及的一个漏洞影响。

  - 在 7.x 至 7.0.40 版本的 Apache Tomcat 中，java/org/apache/catalina/core/AsyncContextImpl.java 未正确处理应用程序中 AsyncListener 内的 RuntimeException 抛出，这允许上下文有关的攻击者通过用于记录其处理的请求的应用程序，在机会型环境中获取本应由其他应用程序获取的敏感请求信息。
    (CVE-2013-2071)

  - 7.x 至 7.0.40 版本的 Apache Tomcat 中存在文件上传不受限制的漏洞，在某些涉及过时 java.io.File 代码和自定义 JMX 配置的情况下，远程攻击者可以通过上传和访问 JSP 文件来执行任意代码。(CVE-2013-4444)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 7.0.33。因此，它受到 fixed_in_apache_tomcat_7.0.33_security-7 公告中提及的一个漏洞影响。

  - 在 6.0.21 至 6.0.36 和 7.x 至 7.0.33 版本的 Apache Tomcat 中，表单认证功能内的 java/org/apache/catalina/authenticator/FormAuthenticator .java 未正确处理认证要求和会话之间的关系，这允许远程攻击者通过在填写登录表单期间发送请求来将此请求注入到会话中，即会话固定攻击的一种变体。
    (CVE-2013-2067)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，在远程主机上监听的 Apache Tomcat 6.0 实例版本低于 6.0.37。因此，它受到多种漏洞的影响：

- 存在一个与分块传输编码和扩展有关的错误，可允许有限的拒绝服务攻击。(CVE-2012-3544)

- 存在一个与 HTML 表单认证和会话固定有关的错误，允许攻击者使用受害者的凭据来发出请求。(CVE-2013-2067)

请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

远程 Citrix NetScaler Web Management Interface 将默认密码（“nsroot”）用于管理员帐户（“nsroot”）。 

通过此信息，攻击者可获得对 Citrix NetScaler 设备的完整管理访问权限。

远程主机上运行的似乎是 Fix Pack 2 之前的 IBM WebSphere Application Server 8.5，因此可能受以下漏洞的影响：

- 包括的 Java SDK 包含多个直接影响应用程序的错误。（CVE-2013-0169、CVE-2013-0440、CVE-2013-0443）

- 存在与管理控制台有关的输入验证错误，可允许跨站脚本攻击。（CVE-2013-0458 / PM71139、CVE-2013-0461 / PM71389、CVE-2013-0542 / PM81846、CVE-2013-0565 / PM83402）

- 存在与管理控制台有关的输入验证错误，可允许跨站脚本攻击。请注意，此问题仅影响 z/OS 操作系统上运行的应用程序。
 (CVE-2013-0459/ PM72536)

- 不明错误可允许认证用户安全绕过。（CVE-2013-0462 / PM76886 或 PM79937）

- 存在与“WS-Security”和 SOAP 消息处理相关的错误，可允许攻击者伪造消息签名。(CVE-2013-0482/ PM76582)

- 存在一个与认证 cookie 有关的错误，可允许远程攻击者获得对受限制资源的访问权限。请注意，此问题仅在运行“Liberty Profile”时对应用程序有影响。
 (CVE-2013-0540/ PM81056)

- 存在关于“WebSphere Identity Manger (WIM)”的缓冲区溢出错误，可导致拒绝服务攻击。(CVE-2013-0541/ PM74909)

- 不明错误可允许安全绕过，从而允许远程攻击者访问 HP、Linux 和 Solaris 主机上的受限制内容。
 (CVE-2013-0543/ PM75582)

- 与管理控制台相关的不明错误可允许对 Unix 和 Linux 主机执行目录遍历攻击。(CVE-2013-0544/ PM82468)

远程主机上运行的似乎是 Fix Pack 6 之前的 IBM WebSphere Application Server 8.0 版。因此，它可能会受到以下漏洞的影响：

- 存在一个输入验证错误，可允许跨站请求伪造 (CSRF) 攻击。
 (CVE-2012-4853/ PM62920)

- 包括的 Java SDK 包含多个直接影响应用程序的错误。（CVE-2013-0169、CVE-2013-0440、CVE-2013-0443）

- 存在与管理控制台有关的输入验证错误，可允许跨站脚本攻击。（CVE-2013-0458 / PM71139、CVE-2013-0461 / PM71389、CVE-2013-0542 / PM81846）

- 存在与管理控制台有关的输入验证错误，可允许跨站脚本攻击。请注意，此问题仅影响 z/OS 操作系统上运行的应用程序。
 (CVE-2013-0459/ PM72536)

- 不明错误可允许认证用户安全绕过。（CVE-2013-0462 / PM76886 或 PM79937）

- 存在与“WS-Security”和 SOAP 消息处理相关的错误，可允许攻击者伪造消息签名。(CVE-2013-0482/ PM76582)

- 存在关于“WebSphere Identity Manger (WIM)”的缓冲区溢出错误，可导致拒绝服务攻击。(CVE-2013-0541/ PM74909)

- 不明错误可允许安全绕过，从而允许远程攻击者访问 HP、Linux 和 Solaris 主机上的受限制内容。
 (CVE-2013-0543/ PM75582)

- 与管理控制台相关的不明错误可允许对 Unix 和 Linux 主机执行目录遍历攻击。(CVE-2013-0544/ PM82468)

远程主机正在运行 IBM Tivoli Endpoint Manager（前身为 BigFix）Web 服务器。IBM Endpoint Manager 是于联网设备的软件管理解决方案。

根据其标题，远程主机上的 Lotus Domino 版本为 8.5.x，因此受到以下漏洞的影响：

  - Web Help 应用程序内的某些脚本容易受到开放重定向攻击的影响。(CVE-2012-2159)

  - Web Help 组件包含一个反射型跨站脚本漏洞。(CVE-2012-2161)

  - 存在与“Web Administrator”客户端以及“Src”参数和“x.nsf”脚本有关的用户输入验证错误，可允许跨站脚本攻击。（CVE-2013-0488、BID 58715）

  - 存在一个与“Web Administrator”客户端有关的用户输入验证错误，可允许跨站请求伪造攻击。(CVE-2013-0489)

根据其标题，远程主机上的 Lotus Domino 版本为低于 8.5.3 的 8.5.x，因此受到以下漏洞的影响：

- ndiiop.exe 文件中存在一个与 DIIOP 实现和 GIOP 请求处理有关的基于堆的缓冲区溢出错误。(CVE-2011-0914)

- nrouter.exe 文件中存在一个与“Content-Type”标头中的“name”参数和畸形 Notes 日历会议请求有关的基于堆栈的缓冲区溢出错误。(CVE-2011-0915)

- 存在一个与“filename”参数、MIME 电子邮件消息和 SMTP 服务有关的基于堆栈的缓冲区溢出错误。(CVE-2011-0916)

- nLDAP.exe 文件中存在一个与 LDAP Bind 操作中的长字符串处理有关的缓冲区溢出错误。(CVE-2011-0917)

- 存在一个与“远程控制台”和“UNC 共享路径名”有关的认证绕过错误。
 (CVE-2011-0920)

- “Nnotes.dll”文件中的“NSFComputeEvaluateExt”函数中存在一个与“fmHttpPostRequest”OpenForm 操作中的“tHPRAgentName”参数有关的基于堆栈的缓冲区溢出错误。
 (CVE-2011-3575)

请注意，利用多个这些漏洞可导致任意代码执行。

远程主机上安装的 Eye-Fi Helper 版本低于 3.4.23。因此，它受到一个目录遍历漏洞的影响，原因是未能正确审查用户提供的输入。

攻击者可利用此问题覆盖受影响的计算机上的任意文件，这可能导致拒绝服务或任意代码执行。

用于以无线方式将照片传输到计算机的 Eye-Fi Helper 软件正在远程主机上监听。

根据其标题，远程主机上运行的 Apache 2.2.x 版本低于 2.2.24。因此，它可能会受到以下跨站脚本漏洞的影响：

- 存在与 mod_info、mod_status、mod_imagemap、mod_ldap 和 mod_proxy_ftp 模块以及未转义的主机名和 URI 有关的错误，可允许跨站脚本攻击。(CVE-2012-3499)

- 存在与 mod_proxy_balancer 模块的管理器接口有关的错误，可造成跨站脚本攻击。(CVE-2012-4558)

请注意，Nessus 并未对这些问题进行实际测试，而是依赖服务器标题栏中的版本。

根据其标题，远程主机上运行的 Apache 2.4.x 版本低于 2.4.4。因此，它会受到以下跨站脚本漏洞的影响：

  - 存在与 mod_info、mod_status、mod_imagemap、mod_ldap 和 mod_proxy_ftp 模块以及未转义的主机名和 URI 有关的错误，可造成跨站脚本攻击。(CVE-2012-3499)

  - 存在与 mod_proxy_balancer 模块的管理器接口有关的错误，可造成跨站脚本攻击。(CVE-2012-4558)

请注意，Nessus 并未对这些问题进行实际测试，而是依赖服务器标题栏中的版本。

Oracle 数据库的 Application Express 组件中存在不明漏洞。更新后的版本 (3.1) 中包含漏洞的两个安全补丁，其中一个补丁可在不经过认证的情况下远程利用。

Oracle 数据库的 Oracle Application Express 组件在 3.0.1 版之前的版本中存在不明漏洞。

Oracle 数据库的 Oracle Application Express 组件在 2.2.1 版之前的版本中存在不明漏洞。更新后的 Apex 版本包含“Oracle Application Express 的 35 个新安全补丁，其中 25 个可以在未经认证的情况下远程利用”。

Oracle 数据库服务器 Application Express (Apex) 组件版本 4.0 和 4.1 中的不明漏洞允许远程攻击者通过未发布的向量影响完整性。

Oracle 数据库服务器 Application Express (Apex) 组件版本 3.2 和 4.0 中的不明漏洞允许未经身份验证的远程用户影响与 Apex 开发人员用户有关的保密性、完整性和可用性。

Oracle Database Server 的 Application Express 组件版本 3.2 中的一个不明漏洞允许远程攻击者通过未知矢量来影响完整性。

Oracle Database 的 Application Express Application Builder 组件版本 3.2.1 中的不明漏洞允许经过认证的远程用户通过未发布的矢量影响机密性、完整性和可用性。

Oracle Application Express 中存在一个不明漏洞。

非特权数据库用户可看见 FLOWS_030000.WWV_FLOW_USER 中的 Oracle Apex 密码哈希。

Oracle Database 版本 11.1.0.6 的 Oracle Application Express 组件中存在不明漏洞，允许经认证的远程用户通过未发布的矢量来影响机密性、完整性和可用性。

在生产环境中，应禁用 Apex Administration 和 Builder 应用程序以防止管理员或开发人员通过 Web 浏览器访问该实例。

远程主机正在运行 Oracle Application Express (Apex)。

根据其标题，远程 Web 服务器运行的 OpenSSL 1.0.1 版本低于 1.0.1e。因此，据报告，OpenSSL 库受到针对 CVE-2013-0169 的不完整补丁的影响。

存在与 SSL/TLS/DTLS 协议、CBC 模式加密和响应时间有关的错误。攻击者可通过时序攻击获取加密流量的明文内容。

远程主机上运行的 Web 服务器似乎在使用 Microsoft ASP.NET，并可能受到拒绝服务漏洞的影响。请求包含 MS-DOS 设备名称的 URL 可导致 Web 服务器暂时不响应。攻击者可反复请求这些 URL，导致拒绝服务。

此外，如果对计算机具有物理访问权限的攻击者连接到串行端口，推测此漏洞可导致代码执行。

此插件不会尝试利用该漏洞，而仅当扫描策略中启用了“检查 PCI-DSS 合规性”时才运行。此插件报告所有使用 ASP.NET 1.1 的 Web 服务器。如果无法确定版本，将报告所有使用 ASP.NET 的 Web 服务器。必须手动验证才可确定是否存在漏洞。

远程主机上运行的 Web 服务器似乎在使用 Microsoft ASP.NET，并可能受到拒绝服务漏洞的影响。请求包含 MS-DOS 设备名称的 URL 可导致 Web 服务器暂时不响应。攻击者可反复请求这些 URL，导致拒绝服务。

此外，如果对计算机具有物理访问权限的攻击者连接到串行端口，推测此漏洞可导致代码执行。

远程主机上安装的 OpenSSL 版本低于 1.0.1d。因此，它受到公告 1.0.1d 中提及的多个漏洞影响。

  - 低于 0.9.8y 的 OpenSSL、低于 1.0.0k 的 OpenSSL 1.0.0，以及低于 1.0.1d 的 OpenSSL 1.0.1 不会对 OCSP 响应正确执行签名验证，这允许远程 OCSP 服务器通过无效的密钥造成拒绝服务（空指针取消引用和应用程序崩溃）。(CVE-2013-0166)

  - 在低于 1.0.1d 的 OpenSSL 1.0.1 中，TLS 1.1 和 1.2 实现的 AES-NI 功能中的 crypto/evp/e_aes_cbc_hmac_sha1.c 允许远程攻击者通过构建的 CBC 数据造成拒绝服务（应用程序崩溃）。(CVE-2012-2686)

  - OpenSSL、OpenJDK、PolarSSL 和其他产品中使用的 TLS 协议 1.1 和 1.2 以及 DTLS 协议 1.0 和 1.2 在处理畸形 CBC 填充期间不会正确考虑针对 MAC 检查要求的时序边信道攻击，这允许远程攻击者通过构建的数据包的时序数据统计分析执行区分攻击和明文恢复攻击，此问题也称为 Lucky Thirteen 问题。(CVE-2013-0169)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 OpenSSL 版本低于 1.0.0k。因此，它受到公告 1.0.0k 中提及的多个漏洞影响。

  - 低于 0.9.8y 的 OpenSSL、低于 1.0.0k 的 OpenSSL 1.0.0，以及低于 1.0.1d 的 OpenSSL 1.0.1 不会对 OCSP 响应正确执行签名验证，这允许远程 OCSP 服务器通过无效的密钥造成拒绝服务（空指针取消引用和应用程序崩溃）。(CVE-2013-0166)

  - OpenSSL、OpenJDK、PolarSSL 和其他产品中使用的 TLS 协议 1.1 和 1.2 以及 DTLS 协议 1.0 和 1.2 在处理畸形 CBC 填充期间不会正确考虑针对 MAC 检查要求的时序边信道攻击，这允许远程攻击者通过构建的数据包的时序数据统计分析执行区分攻击和明文恢复攻击，此问题也称为 Lucky Thirteen 问题。(CVE-2013-0169)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
69038	Hiawatha < 6.5 str2int 整数溢出	high
69037	Hiawatha < 3.6 URL 处理漏洞	high
69036	Hiawatha“setuid”本地权限升级	medium
69035	Hiawatha Tomahawk poll DoS	medium
69034	Hiawatha < 8.8 混合大小写 DenyBody 安全绕过	medium
69033	Hiawatha < 8.5 连接饱和 DoS	medium
69032	Hiawatha 检测	info
69021	IBM WebSphere Application Server 8.5 < Fix Pack 8.5.5 多种漏洞	high
69020	HP System Management Homepage < 7.2.1.0 多种漏洞 (BEAST)	high
69014	Apache 2.4.x < 2.4.5 多个漏洞	critical
68982	IBM WebSphere Application Server 7.0 < Fix Pack 29 多种漏洞	high
68915	Apache 2.2.x < 2.2.25 多种漏洞	medium
68914	Apache 2.0.x < 2.0.65 多种漏洞	critical
67192	IBM Lotus Domino 8.5.x < 8.5.3 FP 4 多种漏洞	high
66804	Oracle GlassFish Server 3.0.1 < 3.0.1.7 / 3.1.2 < 3.1.2.5 多种漏洞（2013 年 4 月 CPU）	medium
66760	IBM HTTP Server for z/OS 5.3.0 命令执行	critical
66672	nginx ngx_http_proxy_module.c 多种漏洞	critical
66671	nginx ngx_http_proxy_module.c 内存泄露	medium
66541	HP System Management Homepage < 7.2.0.14 iprange 参数代码执行	high
66428	Apache Tomcat 7.0.0 < 7.0.40 多个漏洞	high
66427	Apache Tomcat 7.0.0 < 7.0.33	medium
66426	Apache Tomcat 6.0.x < 6.0.37 多种漏洞	medium
66394	Citrix NetScaler Web Management Interface 默认管理员凭据	high
66375	IBM WebSphere Application Server 8.5 < Fix Pack 2 多种漏洞	critical
66374	IBM WebSphere Application Server 8.0 < Fix Pack 6 多种漏洞	critical
66269	IBM Endpoint Manager Web 服务器检测	info
66240	IBM Lotus Domino 8.5.x 多种漏洞	medium
66239	IBM Lotus Domino 8.5.x < 8.5.3 多种漏洞	critical
65688	Eye-Fi Helper < 3.4.23 目录遍历	medium
65687	Eye-Fi Helper 检测	info
64912	Apache 2.2.x < 2.2.24 多种 XSS 漏洞	medium
64893	Apache 2.4.x < 2.4.4 多种 XSS 漏洞	medium
64716	Oracle Application Express (Apex) 不明问题（低于 3.1 版）	critical
64715	Oracle Application Express (Apex) 不明问题（低于 3.0.1 版）	high
64714	Oracle Application Express (Apex) 不明问题（低于 2.2.1 版）	critical
64713	Oracle Application Express (Apex) CVE-2012-1708	medium
64712	Oracle Application Express (Apex) CVE-2011-3525	medium
64711	Oracle Application Express (Apex) CVE-2010-0892	medium
64710	Oracle Application Express (Apex) CVE-2010-0076	medium
64709	Oracle Application Express (Apex) CVE-2009-1993	medium
64708	Oracle Application Express (Apex) CVE-2009-0981	medium
64707	Oracle Application Express (Apex) CVE-2008-4005	medium
64706	可访问 Oracle Application Express (Apex) Administration 界面	info
64705	Oracle Application Express (Apex) 版本检测	info
64704	Oracle Application Express (Apex) 检测	info
64620	OpenSSL 1.0.1 < 1.0.1e 信息泄露	low
64589	Microsoft ASP.NET MS-DOS 设备名称 DoS（PCI-DSS 检查）	medium
64588	Microsoft ASP.NET MS-DOS 设备名称 DoS	high
64534	OpenSSL 1.0.1 < 1.0.1d 多个漏洞	high
64533	OpenSSL 1.0.0 < 1.0.0k 多个漏洞	high

检测

Nessus 的 Web Servers 系列

high

high

medium

medium

medium

medium

info

high

high

critical

high

medium

critical

high

medium

critical

critical

medium

high

high

medium

medium

high

critical

critical

info

medium

critical

medium

info

medium

medium

critical

high

critical

medium

medium

medium

medium

medium

medium

medium

info

info

info

low

medium

high

high

high