远程 OracleVM 系统缺少必要修补程序来解决关键安全更新：

- 更新 tarball 中的 doc/redhat.gif

- 新增 libxml2-oracle-enterprise.patch 并更新 tarball 中的徽标

- xmlNextChar 中基于堆的缓冲区越界读取 (CVE-2016-1762)

- 缺陷 763071：xmlStrncat 中的堆缓冲区溢出 (CVE-2016-1834)

- 缺陷 757711：xmlFAParsePosCharGroup 中的堆缓冲区溢出 (CVE-2016-1840)

- 缺陷 758588：xmlParserPrintFileContextInternal 中基于堆的缓冲区越界读取 (CVE-2016-1838)

- 缺陷 758605：xmlDictAddString 中基于堆的缓冲区越界读取 (CVE-2016-1839)

- 缺陷 759398：xmlDictComputeFastKey 中的堆释放后使用 (CVE-2016-1836)

- 修复对实体内容的不当提取 (CVE-2016-4449)

- htmlParsePubidLiteral 和 htmlParseSystemiteral 中的堆释放后使用 (CVE-2016-1837)

- xmlSAX2AttributeNs 中的堆释放后使用 (CVE-2016-1835)

- xmlParseName 导致基于堆的缓冲区读取不足 (CVE-2016-4447)

- htmlCurrentChar 中基于堆的缓冲区越界读取 (CVE-2016-1833)

- 向 XML 解析器添加缺少的递归递增深度计数器。(CVE-2016-3705)

- 避免构建递归实体 (CVE-2016-3627)

- 已修复某些具有潜在格式字符串漏洞的格式字符串警告 (CVE-2016-4448)

- 更多具有潜在格式字符串漏洞的格式字符串警告 (CVE-2016-4448)

- 修复对内存文件的大型解析 (rhbz#862969)

远程主机正在运行的 Mac OS X 版本为低于 10.11.6 的 10.11.x。因此，它受到以下组件中的多种漏洞影响：

- apache_mod_php
 - Audio
 - bsdiff
 - CFNetwork
 - CoreGraphics
 - FaceTime
 - Graphics Drivers
 - ImageIO
 - Intel Graphics Driver
 - IOHIDFamily
 - IOKit
 - IOSurface
 - Kernel
 - libc++abi
 - libexpat
 - LibreSSL
 - libxml2
 - libxslt
 - Login Window
 - OpenSSL
 - QuickTime
 - Safari Login AutoFill
 - Sandbox Profiles

请注意，如果成功利用最严重的问题则可能导致执行任意代码。

远程主机上安装的 Tenable Log Correlation Engine (LCE) 版本低于 4.8.1。因而会受到以下漏洞的影响：- 由于未正确逃离作为模板的取消引用属性所传递的输入，Handlebars 库的 lib/handlebars/utils.js 脚本中存在多个跨站脚本 (XSS) 漏洞。未经身份验证的远程攻击者可利用这些漏洞，通过特制的请求，在用户浏览器会话中执行任意脚本代码。(CVE-2015-8861, CVE-2015-8862) - Perl-Compatible Regular Expressions (PCRE) 组件中存在基于堆的缓冲区溢出情况，处理复制命名群组中的嵌套向后引用时会触发。未经身份验证的远程攻击者可利用此问题造成拒绝服务情况或执行任意代码。(CVE-2016-1283) - 由于未正确分析 XML 文件中的字符，libxml2 组件的 parserInternals.c 中存在越界读取错误。未经身份验证的远程攻击者可利用此问题，泄露敏感信息或造成拒绝服务情况。(CVE-2016-1833) - 处理含有空值的字符串时，由于未正确验证用户提供的输入，libxml2 组件的 xmlstring.c 中存在溢出情况。未经身份验证的远程攻击者可利用此问题，通过特制的文件，造成拒绝服务情况或执行任意代码。(CVE-2016-1834) - libxml2 组件的 parser.c 中存在多个释放后使用错误，分析复杂名称时会触发。未经身份验证的远程攻击者可利用这些问题，通过特制的文件，取消引用已释放内存并可能执行任意代码。(CVE-2016-1835, CVE-2016-1836) - 分析某范围内的字符时，由于未正确验证用户提供的输入，libxml2 组件的 HTMLparser.c 和 xmlregexp.c 中存在多个基于堆缓冲区溢出情况。未经身份验证的远程攻击者可利用这些问题，通过特制的文件，造成拒绝服务情况或执行任意代码。(CVE-2016-1837, CVE-2016-1839, CVE-2016-1840) - libxml2 组件的 parser.c 中存在多个越界读取错误。未经身份验证的远程攻击者可利用这些问题，泄露敏感信息或造成拒绝服务情况。(CVE-2016-1838, CVE-2016-4447) - OpenSSL 组件中文件 crypto/evp/encode.c 内的 EVP_EncodeUpdate() 函数中存在堆缓冲区溢出情况，处理大量输入数据时会触发。未经身份验证的远程攻击者可利用此问题造成拒绝服务。(CVE-2016-2105) - OpenSSL 组件中文件 crypto/evp/evp_enc.c 内的 EVP_EncryptUpdate() 函数中存在堆缓冲区溢出情况，在前一次调用使用部分区块调用相同函数之后，处理大量输入数据时会触发。未经身份验证的远程攻击者可利用此问题造成拒绝服务。(CVE-2016-2106) - 文件 crypto/evp/e_aes_cbc_hmac_sha1.c 的 aesni_cbc_hmac_sha1_cipher() 函数和文件 crypto/evp/e_aes_cbc_hmac_sha256.c 的 aesni_cbc_hmac_sha256_cipher() 函数中存在多个缺陷，当连接使用 AES-CBC 密码且服务器支持 AES-NI 时会触发。中间人攻击者可利用这些漏洞，发动 padding oracle 攻击，进而解密网络流量。(CVE-2016-2107) - 尝试编码以负整数表示的零值时，由于发生下溢情况，OpenSSL 组件中的 ASN.1 编码器存在远程代码执行漏洞。未经身份验证的远程攻击者可利用此问题造成内存损坏，因此导致执行任意代码。(CVE-2016-2108) - 由于无效编码造成分配大量内存，当从 BIO 读取 ASN.1 数据时，d2i BIO 函数中存在多个不明缺陷。未经身份验证的远程攻击者可利用这些缺陷，通过资源耗尽造成拒绝服务情况。(CVE-2016-2109) - 处理极长的 ASN1 字符串时，crypto/x509/x509_obj.c 文件的 X509_NAME_oneline() 函数中存在越界读取错误。未经身份验证的远程攻击者可利用此错误泄露堆栈内存的内容。(CVE-2016-2176) - 处理 (*ACCEPT) 谓词时，由于未正确验证用户提供的输入，Perl-Compatible Regular Expressions (PCRE) 组件中存在溢出情况。未经身份验证的远程攻击者可利用此问题造成拒绝服务情况或执行任意代码。(CVE-2016-3191) - libxml2 组件的 parser.c 中存在缺陷，以恢复模式处理 XML 内容时会发生。未经身份验证的远程攻击者可利用此问题造成堆栈耗尽，从而导致拒绝服务情况。(CVE-2016-3627) - 由于未正确验证用户提供的输入，libxml2 组件的 parser.c 中存在缺陷。未经身份验证的远程攻击者可利用此问题造成堆栈耗尽，从而导致拒绝服务情况。(CVE-2016-3705) - 由于未正确使用字符串格式说明符（如 %s 和 %x），libxml2 组件中存在格式字符串缺陷。未经身份验证的远程攻击者可利用此问题造成拒绝服务情况或执行任意代码。(CVE-2016-4448) - 由于未正确分析 XML 数据，parser.c 中存在 XML 外部实体注入漏洞。未经身份验证的远程攻击者可利用此问题，通过特制的 XML 数据，泄露任意文件或造成拒绝服务情况。(CVE-2016-4449) - libxml2 组件的 xmlsave.c 中存在越界读取错误，以恢复模式处理 XML 内容时会发生。未经身份验证的远程攻击者可利用此问题，泄露敏感信息或造成拒绝服务情况。(CVE-2016-4483) - 由于即使客户端证书失败，程序还是会尝试恢复 TLS 会话，libcurl 组件中存在安全绕过漏洞。未经身份验证的远程攻击者可利用此问题绕过验证机制。(CVE-2016-5419) - 由于程序重复使用具有不同客户端证书的 TLS 连接，libcurl 组件中存在信息泄露漏洞。未经身份验证的远程攻击者可利用此问题，泄露敏感的跨域信息。(CVE-2016-5420) - libcurl 组件中存在释放后使用错误，未正确清除连接指针以便轻松处理时会触发。未经身份验证的远程攻击者可利用此问题取消引用已释放内存，从而导致执行任意代码。(CVE-2016-5421) - 由于未正确验证用户提供的输入，存在多种存储型跨站脚本 (XSS) 漏洞。经身份验证的远程攻击者可利用这些问题，通过特制的请求，在用户浏览器会话中执行任意脚本代码。(CVE-2016-9261)

移动设备上运行的 iOS 版本低于 9.3.3。因此，会受到多种漏洞的影响，其中最严重的漏洞可导致在下列组件中执行远程代码：

  - 日历
  - CoreGraphics
  - FaceTime
  - ImageIO
  - IOAcceleratorFamily
  - IOHIDFamily
  - 内核
  - libxml2
  - libxslt
  - Safari
  - 沙箱描述文件
  - Siri 联系人
  - Web 媒体
  - WebKit
  - WebKit JavaScript 绑定
  - WebKit 页面载入

The remote host is running a version of iOS that is prior to version 9.3.2 and the following components contain vulnerabilities :

 - Accessibility
 - CFNetwork Proxies
 - CommonCrypto
 - CoreCapture
 - Disk Images
 - ImageIO
 - IOAcceleratorFamily
 - IOHIDFamily
 - Kernel
 - libc
 - libxml2
 - libxslt
 - MapKit
 - OpenGL
 - Safari
 - Siri
 - WebKit
 - WebKit Canvas

Versions of Apple TV earlier than 9.2.1 are unpatched for vulnerabilities in the following components :

 - CFNetwork Proxies
 - CommonCrypto
 - CoreCapture
 - Disk Images
 - ImageIO
 - IOAcceleratorFamily
 - IOHIDFamily
 - Kernel
 - libc
 - libxml2
 - libxslt
 - OpenGL
 - WebKit
 - WebKit Canvas
 

The remote host is running a version of Mac OS X version 10.11.x prior to 10.11.5 and is affected by multiple vulnerabilities in the following components :

 - AMD
 - apache_mod_php
 - AppleGraphicsControl
 - AppleGraphicsPowerManagement
 - ATS
 - Audio
 - Captive Network Assistant
 - CFNetwork Proxies
 - CommonCrypto
 - CoreCapture
 - CoreStorage
 - Crash Reporter
 - Disk Images
 - Disk Utility
 - Graphics Drivers
 - ImageIO
 - Intel Graphics Driver
 - IOAcceleratorFamily
 - IOAudioFamily
 - IOFireWireFamily
 - IOHIDFamilyKernel
 - libc
 - libxml2
 - libxslt
 - MapKit
 - Messages
 - Multi-Touch
 - NVIDIA Graphics Drivers
 - OpenGL
 - QuickTime
 - SceneKit
 - Screen Lock
 - Tcl

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
91800	OracleVM 3.3 / 3.4：libxml2 (OVMSA-2016-0087)	Nessus	OracleVM Local Security Checks	2016/6/24	2021/1/4	critical
92496	Mac OS X 10.11.x < 10.11.6 多个漏洞	Nessus	MacOS X Local Security Checks	2016/7/21	2024/5/28	critical
97893	Tenable Log Correlation Engine (LCE) < 4.8.1 Multiple Vulnerabilities	Nessus	Misc.	2017/3/22	2021/10/25	critical
92359	Apple iOS < 9.3.3 多个漏洞	Nessus	Mobile Devices	2016/7/19	2025/11/3	critical
9332	Apple iOS < 9.3.2 Multiple Vulnerabilities	Nessus Network Monitor	Mobile Devices	2016/5/26	2019/3/6	high
9337	Apple TV < 9.2.1 Multiple Vulnerabilities	Nessus Network Monitor	Internet Services	2016/5/27	2019/3/6	high
9392	Mac OS X 10.11.x < 10.11.5 Multiple Vulnerabilities	Nessus Network Monitor	Operating System Detection	2016/7/13	2019/3/6	high

检测

插件搜索

critical

critical

critical

critical

high

high

high