Websecurity - Веб безпека

24.10.2014

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Атака Poodle дозволяє понизити версію протоколу до SSL 3.0. Витік пам’яті в SRTP і тікетів сеансів. Недостатній захист no-ssl3.

• TA14-290A: SSL 3.0 Protocol Vulnerability and POODLE Attack (деталі)
• Vulnerabilities in OpenSSL (деталі)

10.12.2014

Додаткова інформація.

• CVE question: Return of POODLE (деталі)

Виявлена можливість обходу обмежень в Microsoft IIS.

Уразливі продукти: Microsoft Internet Information Services 8.0, Internet Information Services 8.5.

Можна обійти обмеження по IP і доменам в IIS.

• Microsoft Security Bulletin MS14-076 - Important Vulnerability in Internet Information Services (IIS) Could Allow Security Feature Bypass (2982998) (деталі)

Виявлений витік інформації в cURL і libcurl.

Уразливі продукти: cURL 7.38, libcurl 7.38.

Витік умісту пам’яті через POST-запит.

• Vulnerability in curl (деталі)

Виявлена моживість проведення DoS атаки проти Ruby.

Уразливі версії: Ruby 2.1.

Вичерпання ресурсів при розборі XML. Пошкодження пам’яті в encodes().

• Ruby vulnerability (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Витоки інформації та численні пошкодження пам’яті.

• Microsoft Security Bulletin MS14-065 - Critical Cumulative Security Update for Internet Explorer (3003057) (деталі)

Виявлена уразливість міжсайтового скриптінгу в Microsoft SharePoint Server.

Уразливі продукти: Microsoft SharePoint Server 2010.

Збережений міжсайтовий скриптінг - persistent XSS.

• Microsoft Security Bulletin MS14-073 - Important Vulnerability in Microsoft SharePoint Foundation Could Allow Elevation of Privilege (3000431) (деталі)

Виявлена можливість виконання коду в Apache Struts і commons-beanutils.

Уразливі продукти: Apache Struts 1.3.10, commons-beanutils 1.9.1.

Необмежений доступ до параметра class в об’єкті ActionForm.

• commons-beanutils: ‘class’ property is exposed, potentially leading to RCE (деталі)

25.10.2014

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, PeopleSoft і MySQL.

Уразливі продукти: Oracle 11g, Oracle 12c, MySQL 5.5 і 5.6, Oracle Java SE 5, 6, 7 і 8, Solaris 11, WebLogic Server 12.1, E-Business Suite 12i, JRockit 28.3, Application Express 4.2 та інші продукти Oracle.

138 уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Breaking Oracle Database through Java exploits (details) (деталі)
• Potential Cross-Site Scripting in ADF Faces (деталі)
• Oracle Critical Patch Update Advisory - October 2014 (деталі)

13.11.2014

Додаткова інформація.

• Missing patches / inaccurate information regarding Oracle Oct CPU (деталі)

28.10.2014

Виявлене пошкодження пам’яті в PHP.

Уразливі версії: PHP 5.5.

Пошкодження пам’яті при розборі JPEG в exif_thumbnail(), exif_ifd_make_value(), переповнення буфера в XMLRPC, цілочисленне переповнення в object_custom function.

• Vulnerability in PHP (деталі)

11.11.2014

Додаткова інформація.

• php5 vulnerabilities (деталі)

Виявлений витік інформації в IBM WebSphere Portal.

Уразливі версії: IBM WebSphere Portal 8.0.

Можна одержати відомості про конфігурацію.

• IBM Web Content Manager (WCM) XPath Injection (деталі)