Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 1.12.0 之前的 c-ares 1.x 中的 ares_create_query 函数存在基于堆的缓冲区溢出，允许远程攻击者通过具有转义结尾点的主机名称造成拒绝服务（越界写入）或可能执行任意代码。 (CVE-2016-5180)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

Gzob Qq 发现 c-ares（异步 DNS 请求库）中的查询构建函数未正确处理构建的查询名称，从而导致堆缓冲区溢出，并可能导致任意代码执行。

对于 Debian 7“Wheezy”，这些问题已在版本 1.9.1-3+deb7u1 中修复。

建议您升级 c-ares 程序包。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

远程主机受到 GLSA-201701-28 中所述漏洞的影响（c-ares：基于堆的缓冲区溢出）具有逃逸结尾点（如“hello\\.”）的主机名称有大小计算不正确的情形，进而导致单一字节在堆上的写入位置超过缓冲区末端。影响：可为使用 c-ares 的应用程序提供特制主机名称的远程攻击者可能会造成拒绝服务情况。解决方法：目前无任何已知的解决方法。

Gzob Qq 发现 c-ares（异步 DNS 请求库）中的查询构建函数未正确处理构建的查询名称，从而导致堆缓冲区溢出，并可能导致任意代码执行。

Gzob Qq 发现 c-ares 未能正确处理某些主机名。
远程攻击者可利用此问题造成应用程序崩溃，从而导致拒绝服务或可能执行任意代码。

请注意，Tenable Network Security 已直接从 Ubuntu 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

远程 Redhat Enterprise Linux 6 / 7 主机上安装的程序包受到 RHSA-2017:0002 公告中提及的多个漏洞影响。

    Node.js 是一个构建在 Chrome 的 JavaScript 运行时基础上的平台，用于轻松构建快速、可扩展的网络应用程序。Node.js 使用事件驱动的非阻断 I/O 模型，这使其轻便而高效，非常适合于在分散的设备上运行的数据密集型实时应用程序。

    下列程序包已升级至更新的上游版本：rh-nodejs4-nodejs (4.6.2)、rh-nodejs4-http-parser (2.7.0)。(BZ#1388097)

    安全修复：

    * 已发现 Node.js 的 tls.checkServerIdentity() 函数未能正确验证含有通配符的服务器证书。恶意 TLS 服务器可以利用此缺陷来获取可由 Node.js TLS 客户端接受的特制证书。(CVE-2016-7099)

    * 已发现当分配新的内存（Zone::New() 和 Zone::NewExpand()）时，V8 Zone 类容易受到整数溢出影响。有能力操控大型区域的攻击者可造成应用程序崩溃，或可能以应用程序权限执行任意代码。(CVE-2016-1669)

    * 在 Node.js 随附的 DNS 解析器库 c-ares 中发现一个漏洞。具有转义末尾点的主机名称会不正确计算其大小，进而导致单一字节在堆上的写入位置超过缓冲区末端。能够向使用 c-ares 的应用程序提供此类主机名的攻击者可能导致该应用程序崩溃。(CVE-2016-5180)

    * 发现 ServerResponse#writeHead() 中的 reason 参数未经过正确验证。远程攻击者可能利用此缺陷通过特制的 HTTP 请求执行 HTTP 响应拆分攻击。(CVE-2016-5325)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上运行的 Nessus Network Monitor 版本低于 6.2.2 版。因此，它受到 TNS-2023-23 公告中提及的多个漏洞影响。已发现多个第三方组件包含漏洞，供应商已提供更新版本。出于谨慎考虑且符合最佳实践，Tenable 选择升级这些组件，以解决这些问题的潜在影响。Nessus Network Monitor 6.2.2 更新了以下组件：

  - 将 c-ares 版本从 1.10.0 更新到 1.19.1。
  - 将 curl 版本从 7.79.1 更新到 8.1.2。
  - 将 libbzip2 版本从 1.0.6 更新到 1.0.8。
  - 将 libpcre 版本从 8.42 更新到 8.44。
  - 将 libxml2 版本从 2.7.7 更新到 2.11.1。
  - 将 libxslt 版本从 1.1.26 更新到 1.1.37。
  - 将 libxmlsec 版本从 1.2.18 更新到 1.2.37。
  - 将 sqlite 版本从 3.27.2 更新到 3.40.1。
  - 将 jQuery Cookie 版本从 1.3.1 更新到 1.4.1。
  - 将 jQuery UI 版本从 1.13.0 更新到 1.13.2。
  - 将 OpenSSL 版本从 3.0.8 更新到 3.0.9。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
219557	Linux Distros 未修补的漏洞: CVE-2016-5180	Nessus	Misc.	2025/3/4	2025/8/18	critical
93900	Debian DLA-648-1：c-ares 安全更新	Nessus	Debian Local Security Checks	2016/10/7	2021/1/11	critical
96422	GLSA-201701-28：c-ares：基于堆的缓冲区溢出	Nessus	Gentoo Local Security Checks	2017/1/12	2021/1/11	critical
93836	Debian DSA-3682-1：c-ares - 安全更新	Nessus	Debian Local Security Checks	2016/10/4	2021/1/11	critical
95428	Ubuntu 14.04 LTS / 16.04 LTS：c-ares 漏洞 (USN-3143-1)	Nessus	Ubuntu Local Security Checks	2016/12/1	2024/8/27	critical
210197	RHEL 6/7：rh-nodejs4-nodejs 和 rh-nodejs4-http-parser (RHSA-2017:0002)	Nessus	Red Hat Local Security Checks	2024/11/4	2024/11/5	critical
177842	Nessus Network Monitor < 6.2.2 多个漏洞 (TNS-2023-23)	Nessus	Misc.	2023/6/30	2023/7/6	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical

critical