Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Apache HTTP Server 2.3.x ［］ 2.4.x ［］から 2.4.10 ［］までの mod_lua モジュールの mod_lua.c が、異なるコンテキスト内の異なる引数で同じ Lua 認証プロバイダーが使用される httpd 構成をサポートしていません。これにより、リモートの攻撃者が、意図されたものをバイパスする可能性があります。あるグループが特定のディレクトリにアクセスするための承認を指定し、2番目のグループが2番目のディレクトリにアクセスするための承認を指定する構成によって示されるように、複数のRequireディレクティブを活用することによる、便宜的な状況でのアクセス制限。 （CVE-2014-8109）

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

Apache2 が更新され、バグとセキュリティ問題が修正されました。

セキュリティ問題が修正されました：CVE-2013-5704：変更が加えられ、mod_headers がチャンクリクエストを処理する方法で欠陥が修正されました。「MergeTrailers」ディレクティブを追加し、レガシーの動作に復元します [bnc#871310]、

CVE-2014-8109：様々な引数を持つ複数の Require ディレクティブで LuaAuthzProvider を使用する場合の、Require 行の処理を修正します。

バグ修正：

- ユーザーが起動時にパスワードを要求されないため、暗号化証明書を使用している場合に apache が起動時に開始しない状態を修正するために、apache2.service ファイルが変更されました [bnc#792309]。

- SSLSessionCache に <IfModule> を追加し、起動の失敗を回避 [bnc#842377]、[bnc#849445]、[bnc#864166]。

リモートホストが、バージョン 10.10.5 より前の Mac OS X 10.10.x を実行しています。したがって、次のコンポーネントの複数の脆弱性による影響を受けます：

- apache
 - apache_mod_php
 - Apple ID OD Plug-in
 - AppleGraphicsControl
 - Bluetooth
 - bootp
 - CloudKit
 - CoreMedia Playback
 - CoreText
 - curl
 - Data Detectors Engine
 - Date & Time pref pane
 - Dictionary Application
 - DiskImages
 - dyld
 - FontParser
 - groff
 - ImageIO
 - Install Framework Legacy
 - IOFireWireFamily
 - IOGraphics
 - IOHIDFamily
 - Kernel
 - Libc
 - Libinfo
 - libpthread
 - libxml2
 - libxpc
 - mail_cmds
 - Notification Center OSX
 - ntfs
 - OpenSSH
 - OpenSSL
 - perl
 - PostgreSQL
 - python
 - QL Office
 - Quartz Composer Framework
 - Quick Look
 - QuickTime 7
 - SceneKit
 - Security
 - SMBClient
 - Speech UI
 - sudo
 - tcpdump
 - Text Formats
 - udf

注意：最も深刻な問題の悪用が成功すると、任意のコード実行が発生する可能性があります。

リモートの Mac OS X ホストには、 5.0.3 より前のバージョンの OS X Server がインストールされています。したがって、次の脆弱性の影響を受けます：

- mod_headers モジュールに欠陥が存在し、後でリクエスト処理の際に HTTP トレイラーが HTTP ヘッダーを置き換えることが可能です。リモートの攻撃者は、これを悪用して、任意のヘッダーを注入することができます。これによって、一部のモジュールが不適切に機能することや、不適切に機能しているように見えることもあります。
 (CVE-2013-5704)

- データベースクラスターをテストで使用するための認証要件を特定する際に「make check」コマンドが initdb を適切に呼び出さないために、権限昇格の脆弱性が存在します。ローカルの攻撃者が、この問題を悪用して、サーバーに一時的にアクセスしたり、権限を昇格したりする可能性があります。(CVE-2014-0067)

- mod_cache モジュールに NULL ポインターデリファレンスの欠陥が存在します。リモートの攻撃者は、空の HTTP Content-Type ヘッダーを使ってこの脆弱性を悪用して、キャッシュフォワードプロキシ構成をクラッシュし、スレッド化された MPM を使用する場合にサービス拒否を引き起こせます。
 (CVE-2014-3581)

- mod_proxy_fcgi モジュールに領域外メモリ読み取りの欠陥が存在します。攻撃者は、リモート FastCGI サーバーを使用して長いレスポンスヘッダーを送信し、この脆弱性を悪用して、バッファオーバーリードを引き起こしてサービス拒否を発生できます。(CVE-2014-3583)

- 複数の Require ディレクティブでさまざまな引数で使用される LuaAuthzProvider を処理するときに、モジュール od_lua に欠陥があります。攻撃者はこの脆弱性を悪用して、意図されているアクセス制限をバイパスできます。
 (CVE-2014-8109)

- 制約違反のエラーメッセージで、制限された列の値を不適切に処理しているため、情報漏洩の脆弱性が存在します。認証されたリモートの攻撃者がこれを悪用して、機密情報へのアクセス権を取得する可能性があります。(CVE-2014-8161)

- Domain Name Service 内に、委任に従うために使用されるコードのエラーによる欠陥が存在します。リモートの攻撃者が、悪意をもって構成されたゾーンまたはクエリで、サービスにクエリを無制限に発行させ、リソースを使い果たさせる可能性があります。(CVE-2014-8500)

- 「mod_lua」モジュールの lua_websocket_read() 関数に、WebSocket PING フレームの不適切な処理による欠陥が存在します。リモートの攻撃者が、これを悪用し、 Lua script が wsupgrade() 関数を呼び出した後に、細工された WebSocket PING フレームを送信することで、子プロセスをクラッシュさせるため、サービス拒否状態を引き起こす可能性があります。(CVE-2015-0228)

- 「to_char」関数に関連する、バッファオーバーフローのエラーがいくつか存在するため、複数の脆弱性が存在します。認証されたリモートの攻撃者が、これらの問題を悪用して、サービス拒否や任意のコードの実行を引き起こす可能性があります。(CVE-2015-0241)

- さまざまな *printf() 関数にスタックベースのバッファオーバーフローのエラーがいくつか存在するため、複数の脆弱性が存在します。このオーバーフローは、浮動小数点数を書式設定する際に、リクエストされた精度が約 500 以上の場合に、ユーザー指定の入力を適切に検証していないため発生しています。認証されたリモートの攻撃者が、これらの問題を悪用して、サービス拒否や任意のコードの実行を引き起こす可能性があります。(CVE-2015-0242)

- 「pgcrypto」拡張での複数の関数にオーバーフローの状態があるため、複数の脆弱性が存在します。このオーバーフローは、メモリサイズを追跡する際に、ユーザー指定の入力を適切に検証していないため発生しています。認証されたリモートの攻撃者が、これらの問題を悪用して、サービス拒否や任意のコードの実行を引き起こす可能性があります。(CVE-2015-0243)

- コマンドパラメーター内の細工されたバイナリデータを処理する際に、ユーザー指定の入力を適切にサニタイズしていないため、SQL インジェクションの脆弱性が存在します。認証されたリモートの攻撃者が、この問題を悪用して、SQL クエリを注入したり操作したりすることができるため、任意のデータの操作または漏洩が引き起こされる可能性があります。
 (CVE-2015-0244)

- プロトコル構造メンバーの初期化の失敗のため、read_request_line() 関数に NULL ポインターデリファレンスの欠陥が存在します。リモートの攻撃者が、この欠陥を悪用し、メソッドが欠落しているリクエストを送信することにより、 INCLUDES フィルターが有効で、ローカル URI を指定する ErrorDocument 400 ディレクティブがあるインストールで、サービス拒否状態を引き起こす可能性があります。(CVE-2015-0253)

- DNSSEC の検証と managed-keys の機能に関連するエラーがあるため、サービス拒否の脆弱性が存在します。リモートの攻撃者が、使える状態のキーがない状態になる間違ったトラストアンカー管理シナリオをトリガーする可能性があり、その結果、アサーションの失敗またはデーモンのクラッシュが引き起こされます。(CVE-2015-1349)

- PostgreSQL クライアントの切断タイムアウト失効に欠陥が存在し、セッション シャットダウン シーケンスの中でタイムアウト割り込みが部分的に発動されたときに発生します。(CVE-2015-3165)

- エラーチェックの失敗による欠陥が、print() 関数に存在しています。リモートの攻撃者が、これを利用して、機密情報にアクセスする可能性があります。(CVE-2015-3166)

PostgreSQL の pgcrypto コンポーネントに、間違ったキーでの復号化に関する複数のエラーメッセージがあります。リモートの攻撃者がこれを利用して、他のシステムから鍵を復元する可能性があります。(CVE-2015-3167)

- チャンクヘッダーを適切に解析できないため、チャンク転送コーディングの実装に欠陥が存在します。リモートの攻撃者がこれを悪用して、 HTTP リクエストスマグリング攻撃を行うおそれがあります。(CVE-2015-3183)

- 要求ディレクティブが認証設定ではなく承認設定に関連している可能性を考慮していないため、ap_some_auth_required() 関数に欠陥が存在します。リモートの攻撃者が、これを悪用し、2.2 API の挙動を信頼するモジュールが存在すると、意図されているアクセス制限をバイパスする可能性があります。
 (CVE-2015-3185)

- 複数の詳細不明の XML の欠陥が Twisted に基づく Wiki Server に存在します。(CVE-2015-5911)

更新済みの apache パッケージは、以下のセキュリティ脆弱性を修正します：

2.4.9 より前の Apache HTTPD は、DAV_WRITE リクエストを処理する際に、mod_dav でのサービス拒否に脆弱でした（CVE-2013-6438）。

2.4.9 より前の Apache HTTPD は、クッキーを記録する際のサービス拒否に脆弱でした（CVE-2014-0098）。

ヒープベースのバッファオーバーフローにつながる競合状態の欠陥が、 mod_status httpd モジュールに見つかりました。スレッドマルチプセッシングモジュール（MPM）を使用しているステータスページにアクセスできるリモートの攻撃者は、特別に細工されたリクエストを送信することができます。これにより、 httpd 子プロセスをクラッシュさせることや、攻撃者が apache ユーザーの権限で任意のコードを実行できるようになることがあります（CVE-2014-0226）。

mod_proxy httpd モジュールに、サービス拒否を引き起こす欠陥が見つかりました。リモートの攻撃者はスレッドマルチプロセッシングモジュール（MPM）を使用するリバースプロキシとして構成されているサーバーに、特別に細工されたリクエストを送信する可能性があります。これにより、httpd 子プロセスがクラッシュします（CVE-2014-0117）。

httpd の mod_deflate モジュールがリクエスト本体の解凍（DEFLATE 入力フィルターから構成された）を処理していた方法で、サービス拒否の欠陥が見つかりました。どの本体を解凍するかについてのリクエストを送信できるリモートの攻撃者はこの欠陥を利用して、システムメモリや CPU をターゲットシステムで過剰に消費できます（CVE-2014-0118）。

httpd の mod_cgid モジュールが標準入力からデータを読み込んでいなかった CGI スクリプトを実行した方法で、サービス拒否の欠陥が見つかりました。リモートの攻撃者は、httpd 子プロセスを無制限にハングさせることのできる特別に細工されたリクエストを送信することができます（CVE-2014-0231）。

mod_cache httpd モジュールが Content-Type ヘッダーを処理する方法で、 NULL ポインターデリファレンスの欠陥が見つかりました。Apache HTTP Server がキャッシングを有効とするサーバーへのプロキシとして構成される場合、悪意ある HTTP サーバーが、httpd 子プロセスをクラッシュさせる可能性があります（CVE-2014-3581）。

2.4.10 までの Apache HTTP Server の mod_lua モジュールの mod_lua.c は、同じ Lua 承認プロバイダーが異なるコンテキストの異なる引数で使用される httpd 構成をサポートしていません。このため、リモートの攻撃者が、あるグループの承認を指定して、特定のディレクトリにアクセスし、2 番目のグループの承認を指定して、2 番目のディレクトリにアクセスする構成で示されるように、複数の Require ディレクティブを活用して、日和見状況で意図されるアクセス制限をバイパスする可能性があります（CVE-2014-8109）。

2.4.10 までの Apache HTTP Server の mod_lua モジュールで、スクリプト r：wsupgrade() の呼び出し後、悪意をもって細工された websockets PING が子プロセスをクラッシュさせる可能性があります（CVE-2015-0228）。

チャンクされたエンコーディングを使用しているリクエストを処理する際に、 httpd が HTTP Trailer ヘッダーを処理する方法で、欠陥が見つかりました。悪意あるクライアントが、 Trailer ヘッダーを利用して、ヘッダー処理が他のモジュールにより行われた後に追加の HTTP ヘッダーを設定する可能性があります。これにより、たとえば、mod_headers で定義されるヘッダー制限がバイパスされる可能性があります（CVE-2013-5704）。

注：この更新で、httpd は HTTP Trailer ヘッダーを他の HTTP リクエストヘッダーと結合しないように変更されています。新たに導入された構成ディレクティブである MergeTrailers を使用して、Trailer ヘッダーの古い処理方法を再度有効にし、前述の欠陥も再度導入します。

この更新では以下のバグも修正されます。

この更新の前は、wss: URL スキーマを使用してバックエンドのサーバーを使用するように設定されていた場合、mod_proxy_wstunnel モジュールが SSL 接続をセットアップできませんでした。これらの更新済みパッケージでは、wss：バックエンドにプロキシ設定されるなら、SSL が使用されます（rhbz#1141950）。

Apache2 已更新，修正了多個錯誤和安全性問題。

修正的安全性問題：CVE-2013-5704：新增變更，修正 mod_headers 處理區塊要求之方式中的一個瑕疵。新增「MergeTrailers」指示詞以還原舊版行為 [bnc#871310]。

CVE-2014-8109：修正 LuaAuthzProvider 用於多個含有不同引數的 Require 指示詞時，Require 行的處理方式。

錯誤修正：

- 變更 apache2.service 檔案，修正 apache 在使用加密憑證時，因系統在開機期間未提示使用者提供密碼，而無法在開機時啟動的情況 [bnc#792309]。

- 新增有關 SSLSessionCache 的 <IfModule> 指示詞，避免啟動失敗 [bnc#842377]、[bnc#849445] 和 [bnc#864166]。

遠端主機執行的 Mac OS X 10.10.x 版本比 10.10.5 版舊。因此受到下列元件中的多個弱點影響：

- apache
 - apache_mod_php
 - Apple ID OD Plug-in
 - AppleGraphicsControl
 - Bluetooth
 - bootp
 - CloudKit
 - CoreMedia Playback
 - CoreText
 - curl
 - Data Detectors Engine
 - Date & Time pref pane
 - Dictionary Application
 - DiskImages
 - dyld
 - FontParser
 - groff
 - ImageIO
 - Install Framework Legacy
 - IOFireWireFamily
 - IOGraphics
 - IOHIDFamily
 - Kernel
 - Libc
 - Libinfo
 - libpthread
 - libxml2
 - libxpc
 - mail_cmds
 - Notification Center OSX
 - ntfs
 - OpenSSH
 - OpenSSL
 - perl
 - PostgreSQL
 - python
 - QL Office
 - Quartz Composer Framework
 - Quick Look
 - QuickTime 7
 - SceneKit
 - Security
 - SMBClient
 - Speech UI
 - sudo
 - tcpdump
 - Text Formats
 - udf

請注意，如果成功惡意利用多數嚴重問題，將會導致任意程式碼執行。

遠端 Mac OS X 主機上安裝的 OS X Server 為 5.0.3 之前的版本。因此受到以下弱點影響：

- mod_headers 模組中存在一個瑕疵，其允許在要求處理後期以 HTTP 結尾取代 HTTP 標頭。遠端攻擊者可惡意利用此弱點插入任意標頭。這還可能導致部分模組無法正常運作，或是似乎不正常運作。
 (CVE-2013-5704)

- 存在一個權限提升弱點，是因 'make check’ 命令未正確叫用 initdb 來為資料庫叢集指定供測試之用的驗證需求所導致。本機攻擊者可惡意利用此問題，藉此取得暫時伺服器存取權和提升的權限。(CVE-2014-0067)

- 模組 mod_cache 中存有一個 NULL 指標解除參照瑕疵。遠端攻擊者可使用空白的 HTTP 內容類型標頭來惡意利用此弱點，藉此損毀快取正向 Pproxy 組態，若使用階層式 MPM 則會導致拒絕服務。
 (CVE-2014-3581)

- 模組 mod_proxy_fcgi 中存有一個超出邊界記憶體讀取瑕疵。攻擊者可使用遠端 FastCGI 伺服器傳送長回應時間標頭來惡意利用此弱點，導致緩衝區過度讀取因而造成拒絕服務。(CVE-2014-3583)

- 處理具有不同引數的多個 Require 指示詞中使用的 LuaAuthzProvider 時，模組 mod_lua 中存有瑕疵。攻擊者可惡意利用此弱點，藉此繞過預定的存取限制。
 (CVE-2014-8109)

- 存在一個資訊洩漏弱點，是因不當處理限制違規錯誤訊息中的受限欄值所導致。經驗證的遠端攻擊者可利用此弱點取得敏感資訊的存取權。(CVE-2014-8161)

- 網域名稱服務中存有一個瑕疵，這是因為用於遵循委派的程式碼出錯而引起的。遠端攻擊者若擁有惡意建構的區域或查詢，就能造成服務發出無限制的查詢，進而導致資源耗盡。(CVE-2014-8500)

- 由於不正確處理 WebSocket PING 框架，而導致「mod_lua」模組中的 lua_websocket_read() 函式出現一個瑕疵。遠端攻擊者可惡意利用這點，在 Lua 指令碼呼叫 wsupgrade() 函式之後傳送特製的 WebSocket PING 框架，造成子處理程序損毀，進而導致拒絕服務情形。(CVE-2015-0228)

- 存在多個弱點，是因與「to_char」函式有關的多個緩衝區溢位錯誤所導致。經驗證的遠端攻擊者可惡意利用這些問題，造成拒絕服務或任意程式碼執行。(CVE-2015-0241)

- 存在多個弱點，是因多種 *printf() 函式中的數個堆疊型緩衝區溢位錯誤所導致。溢位發生的原因是格式化浮點數時 (要求的準確度高於大約 500) 不當驗證使用者提供的輸入。經驗證的遠端攻擊者可惡意利用這些問題，造成拒絕服務或任意程式碼執行。(CVE-2015-0242)

- 存在多個弱點，是因「pgcrypto」延伸模組中的數個函式發生溢位情形所導致。溢位發生的原因是追蹤記憶體大小時不當驗證使用者提供的輸入。經驗證的遠端攻擊者可惡意利用這些問題，造成拒絕服務或任意程式碼執行。(CVE-2015-0243)

- 存在 SQL 插入弱點，是因處理命令參數中的特製二進位資料時，不當清理使用者提供的輸入所導致。經驗證的遠端攻擊者可惡意利用此問題來插入或操控 SQL 查詢，進而允許操控或洩漏任意資料。
 (CVE-2015-0244)

- read_request_line() 函式中存在因無法初始化通訊協定結構成員所致的 NULL 指標解除參照瑕疵。遠端攻擊者可惡意利用此瑕疵，針對啟用了 INCLUDES 篩選器且具有指定本機 URI 之 ErrorDocument 400 指示詞的安裝，傳送缺少方法的要求，造成拒絕服務情形。(CVE-2015-0253)

- 存在一個拒絕服務弱點，是因與 DNSSEC 驗證和受管理金鑰功能有關的錯誤所導致。遠端攻擊者可觸發錯誤的信任錨點管理狀況，該狀況下無任何就緒金鑰可供使用，進而導致宣告失敗和程序損毀。(CVE-2015-1349)

- PostgreSQL 用戶端中斷連線逾時到期存在一個瑕疵，該瑕疵會在工作階段關機序列過程中發生逾時中斷時觸發。(CVE-2015-3165)

- printf() 函式中存在一個瑕疵，這是因為檢查錯誤失敗所致。遠端攻擊者可利用此瑕疵取得敏感資訊的存取權。(CVE-2015-3166)

- 針對具有錯誤金鑰的解密，PostgreSQL 的 pgcrypto 元件有多個錯誤訊息。遠端攻擊者可加以惡意利用，藉此從其他系統還原金鑰。(CVE-2015-3167)

- 在區塊傳輸編碼實作中，存在因無法正確剖析區塊標頭所致的瑕疵。遠端攻擊者可惡意利用這點，發動 HTTP 要求走私攻擊。(CVE-2015-3183)

- 在 ap_some_auth_required() 函式中，存在因無法考慮 Require 指示詞可能與授權設定而非驗證設定相關聯所致的瑕疵。如果依賴 2.2 API 行為的模組存在，遠端攻擊者可惡意利用這點，繞過預定的存取限制。
 (CVE-2015-3185)

- 以 Twisted 為基礎的 Wiki Server 中存在多個不明 XML 瑕疵。(CVE-2015-5911)

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 在 Apache HTTP Server 2.3.x 和 2.4.x 至 2.4.10 中，mod_lua 模組的 mod_lua.c 不支援在不同內容中以不同引數使用相同 Lua 授權提供者的 httpd 組態，進而允許遠端攻擊者繞過預定透過利用多個 Require 指示詞，在機會性情況下設定存取限制，指定授權給一個群組存取特定目錄，以及授權第二個群組存取第二個目錄的組態即為一例。 (CVE-2014-8109)

請注意，Nessus 依賴供應商報告的套件存在。

更新版 apache 套件可修正多個安全性弱點：

2.4.9 版之前的 Apache HTTPD 處理 DAV_WRITE 要求時，容易受到 mod_dav 中的一個拒絕服務弱點影響 (CVE-2013-6438)。

2.4.9 版之前的 Apache HTTPD 記錄 cookie 時，容易受到一個拒絕服務弱點影響 (CVE-2014-0098)。

在 mod_status httpd 模組中發現導致堆積型緩衝區溢位的爭用情形瑕疵。能夠在伺服器上使用階層式多處理模組 (MPM) 存取 mod_status 提供服務之狀態頁面的遠端攻擊者，可能傳送特製要求，導致 httpd 子處理程序損毀，或可能讓攻擊者以‘apache’使用者的權限執行任意程式碼 (CVE-2014-0226)。

在 mod_proxy httpd 模組中發現一個拒絕服務瑕疵。遠端攻擊者可傳送特製要求給伺服器，而其設定為使用階層式多處理模組 (MPM) 的反向代理伺服器，這可能造成 httpd 子處理程序損毀 (CVE-2014-0117)。

在 httpd 的 mod_deflate 模組處理要求內文解壓縮 (透過 DEFLATE 輸入篩選設定) 的方式中發現拒絕服務瑕疵。能夠傳送其內文會遭到解壓縮之要求的遠端攻擊者可能會利用此瑕疵在目標系統上消耗過量系統記憶體與 CPU (CVE-2014-0118)。

在 httpd 的 mod_cgid 模組執行並非從標準輸入讀取資料之 CGI 指令碼的方式中發現拒絕服務瑕疵。遠端攻擊者可能會提交特製的要求，導致 httpd 子處理程序無限期懸置 (CVE-2014-0231)。

在 mod_cache httpd 模組處理 Content-Type 標頭的方式中，發現一個 NULL 指標解除參照瑕疵。Apache HTTP Server 設為以啟用快取功能的伺服器作為代理伺服器時，惡意的 HTTP Server 可能會造成 httpd 子處理程序損毀 (CVE-2014-3581)。

在 2.4.10 版及其之前版本的 Apache HTTP Server 中，mod_lua 模組的 mod_lua.c 不支援 httpd 組態，而其中相同的 Lua 授權提供者在其他內容中，會使用不同的引數，其允許遠端攻擊者利用多個 Require 指示詞，而有機會繞過預定的存取限制；將組態設為指定授權給一個群組存取特定目錄，而第二個群組有授權存取另一個目錄，此情況即為一例 (CVE-2014-8109)。

在 2.4.10 版及其之前版本的 Apache HTTP Server 的 mod_lua 模組中，指令碼呼叫 r:wsupgrade() 之後出現的惡意特製 websocket PING 可造成子處理程序損毀 (CVE-2015-0228)。

使用區塊編碼處理要求時，在 httpd 處置 HTTP Trailer 標頭的方式中發現一個瑕疵。惡意用戶端可利用 Trailer 標頭，在其他模組執行過標頭處理後設定額外的 HTTP 標頭。舉例而言，這可導致繞過以 mod_headers 定義的標頭限制 (CVE-2013-5704)。

注意：透過此更新，httpd 會修改為不將 HTTP Trailer 標頭和其他 HTTP 要求標頭合併。最新引入的組態指示詞 MergeTrailers 可用於重新啟用 Trailer 標頭的舊處理方式，但其也會重新引入前述瑕疵。

此更新也可修正下列錯誤：

在此更新之前，mod_proxy_wstunnel 模組設定為使用配置為 wss: URL 的後端伺服器時，會無法設定 SSL 連線，這會造成代理連線失敗。在這些更新版套件中，代理設定至 wss: 後端伺服器時會使用 SSL (rhbz#1141950)。

The remote host is running a version of Mac OS X 10.10.x that is prior to version 10.10.5. The installed version is affected by multiple vulnerabilities in the following components :

 - apache (CVE-2014-3581, CVE-2014-3583, CVE-2014-8109, CVE-2015-0228, CVE-2015-0253, CVE-2015-3183, CVE-2015-3185)
 - apache_mod_php (CVE-2015-2783, CVE-2015-2787, CVE-2015-3307, CVE-2015-3329, CVE-2015-3330, CVE-2015-4021, CVE-2015-4022, CVE-2015-4024, CVE-2015-4025, CVE-2015-4026, CVE-2015-4147, CVE-2015-4148)
 - Apple ID OD Plug-in (CVE-2015-3799)
 - AppleGraphicsControl (CVE-2015-5768)
 - Bluetooth (CVE-2015-3777, CVE-2015-3779, CVE-2015-3780, CVE-2015-3786, CVE-2015-3787)
 - bootp (CVE-2015-3778)
 - CloudKit (CVE-2015-3782)
 - CoreMedia Playback (CVE-2015-5777, CVE-2015-5778)
 - CoreText (CVE-2015-5761, CVE-2015-5755)
 - curl (CVE-2014-3613, CVE-2014-3620, CVE-2014-3707, CVE-2014-8150, CVE-2014-8151, CVE-2015-3143, CVE-2015-3144, CVE-2015-3145, CVE-2015-3148, CVE-2015-3153)
 - Data Detectors Engine (CVE-2015-5750)
 - Date & Time pref pane (CVE-2015-3757)
 - Dictionary Application (CVE-2015-3774)
 - DiskImages (CVE-2015-3800)
 - dyld (CVE-2015-3760)
 - FontParser (CVE-2015-3804, CVE-2015-5775, CVE-2015-5756)
 - groff (CVE-2009-5044, CVE-2009-5078)
 - ImageIO (CVE-2015-5758, CVE-2015-5781, CVE-2015-5782)
 - Install Framework Legacy (CVE-2015-5784, CVE-2015-5754)
 - IOFireWireFamily (CVE-2015-3769, CVE-2015-3771, CVE-2015-3772)
 - IOGraphics (CVE-2015-3770, CVE-2015-5783)
 - IOHIDFamily (CVE-2015-5774)
 - Kernel (CVE-2015-3766, CVE-2015-3768, CVE-2015-5747, CVE-2015-5748, CVE-2015-3806, CVE-2015-3803, CVE-2015-3802, CVE-2015-3805, CVE-2015-3776, CVE-2015-3761)
 - Libc (CVE-2015-3796, CVE-2015-3797, CVE-2015-3798)
 - Libinfo (CVE-2015-5776)
 - libpthread (CVE-2015-5757)
 - libxml2 (CVE-2014-0191, CVE-2014-3660, CVE-2015-3807)
 - libxpc (CVE-2015-3795)
 - mail_cmds (CVE-2014-7844)
 - Notification Center OSX (CVE-2015-3764)
 - ntfs (CVE-2015-5763)
 - OpenSSH (CVE-2015-5600)
 - OpenSSL (CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792)
 - perl (CVE-2013-7422)
 - PostgreSQL (CVE-2014-0067, CVE-2014-8161, CVE-2015-0241, CVE-2015-0242, CVE-2015-0243, CVE-2015-0244)
 - python (CVE-2013-7040, CVE-2013-7338, CVE-2014-1912, CVE-2014-7185, CVE-2014-9365)
 - QL Office (CVE-2015-5773, CVE-2015-3784)
 - Quartz Composer Framework (CVE-2015-5771)
 - Quick Look (CVE-2015-3781)
 - QuickTime 7 (CVE-2015-3779, CVE-2015-5753, CVE-2015-5779, CVE-2015-3765, CVE-2015-3788, CVE-2015-3789, CVE-2015-3790, CVE-2015-3791, CVE-2015-3792, CVE-2015-5751)
 - SceneKit (CVE-2015-5772, CVE-2015-3783)
 - Security (CVE-2015-3775)
 - SMBClient (CVE-2015-3773)
 - Speech UI (CVE-2015-3794)
 - sudo (CVE-2013-1775, CVE-2013-1776, CVE-2013-2776, CVE-2013-2777, CVE-2014-0106, CVE-2014-9680)
 - tcpdump (CVE-2014-8767, CVE-2014-8769, CVE-2014-9140)
 - Text Formats (CVE-2015-3762)
 - udf (CVE-2015-3767)

 Note that successful exploitation of the most serious issues can result in arbitrary code execution.

Versions of Apache HTTP Server 2.3.x / 2.4.x prior to 2.4.12 are affected by an authorization bypass vulnerability because of insufficient authorization enforcement in LuaAuthzProvider. Specifically, this issue affects the 'mod_lua.c' module when LuaAuthzProvider is used in multiple Require directives with different arguments. Attackers can exploit this issue using readily available tools to obtain sensitive information that may aid in further attacks.

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
218553	Linux Distros のパッチ未適用の脆弱性: CVE-2014-8109	Nessus	Misc.	2025/3/4	2025/9/4	critical
80300	openSUSE セキュリティ更新：apache2（openSUSE-SU-2014:1726-1）	Nessus	SuSE Local Security Checks	2014/12/30	2021/1/19	medium
85408	Mac OS X 10.10.x < 10.10.5 の複数の脆弱性	Nessus	MacOS X Local Security Checks	2015/8/17	2024/5/28	high
86066	Mac OS X：OS X Server < 5.0.3 複数の脆弱性	Nessus	MacOS X Local Security Checks	2015/9/22	2019/11/22	critical
82346	Mandriva Linux セキュリティアドバイザリ：apache（MDVSA-2015:093）	Nessus	Mandriva Local Security Checks	2015/3/30	2021/1/14	medium
80300	openSUSE 安全性更新：apache2 (openSUSE-SU-2014:1726-1)	Nessus	SuSE Local Security Checks	2014/12/30	2021/1/19	medium
85408	Mac OS X 10.10.x < 10.10.5 多個弱點	Nessus	MacOS X Local Security Checks	2015/8/17	2024/5/28	high
86066	Mac OS X：OS X Server < 5.0.3 多個弱點	Nessus	MacOS X Local Security Checks	2015/9/22	2019/11/22	critical
218553	Linux Distros 未修補弱點：CVE-2014-8109	Nessus	Misc.	2025/3/4	2025/9/4	critical
82346	Mandriva Linux 安全性公告：apache (MDVSA-2015:093)	Nessus	Mandriva Local Security Checks	2015/3/30	2021/1/14	medium
8981	Mac OS X < 10.10.5 Multiple Vulnerabilities	Nessus Network Monitor	Operating System Detection	2015/10/16	2019/3/6	high
8587	Apache HTTP Server 2.3.x / 2.4.x < 2.4.12 Authorization Bypass	Nessus Network Monitor	Web Servers	2015/2/4	2019/3/6	low

检测

插件搜索

critical

medium

high

critical

medium

medium

high

critical

critical

medium

high

low