Websecurity - Веб безпека

Виявлена можливість звертання по неініціалізованому вказівнику в Apache mod_isapi.

Уразливі версії: Apache 2.2.

За певних умов відбувається виклик функції за адресою після вивантаження бібліотеки.

• Apache mod_isapi Dangling Pointer Vulnerability (деталі)

Виявлена можливість проведення DoS атаки через mod_proxy_ajp в Apache.

Уразливі версії: Apache 2.2.

Не звільняються ресурси при завершенні з’єднання клієнтом без відправлення даних.

• DoS через mod_proxy_ajp в Apache (деталі)

10.11.2009

Виявлена можливість впровадження даних в SSL в Apache.

Уразливі версії: Apache 2.2.

Можливість підміни даних пов’язана з переузгодженням протоколу без перевстановлення з’єднання.

• Vulnerabilitiy in Apache (деталі)

08.03.2010

Додаткова інформація.

Виявлена можливість впровадження даних в SSL в багатьох інших додатках окрім Apache.

• TLS Protocol Session Renegotiation Security Vulnerability (деталі)
• TLS Renegotiation Vulnerability: Proof of Concept Code (Python) (деталі)
• Vulnerabilitiy in proftpd (деталі)
• TLS / SSLv3 vulnerability explained (New ways to leverage the vulnerability) (деталі)
• TLS / SSLv3 vulnerability explained (DRAFT) (деталі)
• Cisco Security Advisory: Transport Layer Security Renegotiation Vulnerability (деталі)

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 5.5, Tomcat 6.0.

Видалення файлів, слабкі дозволи після переустановки.

• Apache Tomcat insecure partial deploy after failed undeploy (деталі)
• Apache Tomcat unexpected file deletion in work directory (деталі)

22.02.2010

Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird і SeaMonkey.

Уразливі продукти: Mozilla Firefox 3.0, Firefox 3.5, Firefox 3.6, Thunderbird 3.0, SeaMonkey 2.0.

Численні пошкодження пам’яті, використання пам’яті після звільнення, міжсайтовий скриптінг.

• Mozilla Foundation Security Advisory 2010-01 (деталі)
• Mozilla Foundation Security Advisory 2010-02 (деталі)
• Mozilla Foundation Security Advisory 2010-03 (деталі)
• Mozilla Foundation Security Advisory 2010-04 (деталі)
• Mozilla Foundation Security Advisory 2010-05 (деталі)
• Mozilla Firefox Memory Corruption Vulnerability (деталі)

02.03.2010

Додаткова інформація.

• Mozilla Firefox showModalDialog Cross-Domain Scripting Vulnerability (деталі)

Виявлена можливість витоку інформації в Google Chrome.

Уразливі версії: Google Chrome 3.0, Chrome 4.0.

Менеджер паролів може автоматично заповнити ім’я і пароль користувача при включенні об’єкта з зовнішнього джерела.

• Chrome Password Manager Cross Origin Weakness (CVE-2010-0556) (деталі)

Виявлена можливість витоку інформації в багатьох Web-серверах, яка в тому числі дозволяє обійти існуючі захисні фільтри веб додатків та WAF.

Уразливі продукти: Cherokee 0.99, Nginx Web Server 0.7, Nginx Web Server 0.8, Mongoose 2.8, WLMP 1.1.

Можливо одержати доступ до вмісту скриптів і/або обійти обмеження доступу використовуючи імена файлів у форматі 8.3 і пробільні символи наприкінці імені файлу.

• Multiple Vulnerabilities with 8.3 Filename Pseudonyms in Web Servers (деталі)
• mongoose Space Character Remote File Disclosure Vulnerability (деталі)

Виявлені численні уразливості в Google Chrome, що дозволяють віддаленому користувачу зробити неавторизовану зміну даних, одержати доступ до важливих даних і скомпрометувати цільову систему.

Уразливі версії: Google Chrome версії до 4.0.249.89.

1. Уразливість існує через дві помилки при одержанні доменного імені та при інтерпретації сконфігурованих списків проксі серверів.

2. Уразливість існує через численні цілочисленні переповнення у механізмі v8.

3. Уразливість існує через невідому помилку при обробці тегів ruby.

4. Уразливість існує через помилку при обробці тегів iframe.

5. Уразливість існує через невідому помилку при відображенні доменного імені в діалоговому вікні HTTP аутентифікації.

6. Цілочисленне переповнення виявлене при десеріализації повідомлень, отриманих з пісочниці.

• Множественные уязвимости в Google Chrome (деталі)

Виявлена можливість витоку інформації в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5.01, 6, 6 SP1, 7 і 8 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Можна одержати файли з комп’ютера користувача через уразливості URLMON і динамічні теги OBJECT.

• Internet Explorer Dynamic OBJECT tag and URLMON sniffing vulnerabilities (деталі)

Виявлене пошкодження пам’яті в Google Chrome.

Уразливі версії: Google Chrome 3.0.

Використання після звільнення при обробці блокованих спливаючих вікон.

• Google Chrome Pop-Up Block Menu Handling Vulnerability (деталі)