Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 30, Firefox ESR 24.6, Thunderbird 24.6, Seamonkey 2.26.1.

Численні пошкодження пам’яті, переповнення буфера.

• Mozilla Foundation Security Advisory 2014-56 (деталі)
• Mozilla Foundation Security Advisory 2014-57 (деталі)
• Mozilla Foundation Security Advisory 2014-58 (деталі)
• Mozilla Foundation Security Advisory 2014-59 (деталі)
• Mozilla Foundation Security Advisory 2014-60 (деталі)
• Mozilla Foundation Security Advisory 2014-61 (деталі)
• Mozilla Foundation Security Advisory 2014-62 (деталі)
• Mozilla Foundation Security Advisory 2014-63 (деталі)
• Mozilla Foundation Security Advisory 2014-64 (деталі)
• Mozilla Foundation Security Advisory 2014-65 (деталі)
• Mozilla Foundation Security Advisory 2014-66 (деталі)

Виявлена можливість проведення DoS атаки проти PHP і libgd.

Уразливі продукти: PHP 5.4, libgd 2.0.

Звертання по нульовому вказівнику при розборі файлів XPM.

• Vulnerability in gd and libgd (деталі)

Виявлені численні уразливості безпеки в Apache.

Уразливі версії: Apache 2.4.

Переповнення буфера в mod_status, DoS через mod_proxy, mod_deflate, mod_cgid.

• Apache HTTP Server vulnerabilities (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті.

• Microsoft Internet Explorer “ShowSaveFileDialog()” Sandbox Bypass (Pwn2Own 2014) (деталі)
• Microsoft Internet Explorer “Request” Object Confusion Sandbox Bypass (Pwn2Own 2014) (деталі)
• Microsoft Internet Explorer CSS @import Memory Corruption (Pwn2Own 2014) (деталі)
• Microsoft Security Bulletin MS14-037 - Critical Cumulative Security Update for Internet Explorer (2975687) (деталі)
• Microsoft Security Bulletin MS14-035 - Critical Cumulative Security Update for Internet Explorer (2969262) (деталі)

Виявлена некоректна робота із сертифікатами в Perl модулі LWP::Protocol::https.

Уразливі версії: liblwp-protocol-https-perl 6.04.

При дозволеній розбіжності імені сертифіката сертифікат цілком не перевіряється.

• LWP::Protocol::https vulnerability (деталі)

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.5.

Пошкодження пам’яті, DoS, витік інформації.

• PHP vulnerabilities (деталі)

Виявлені уразливості безпеки в Python.

Уразливі версії: Python 2.7, Python 3.4.

Доступ до файлів і виконання коду в CGIHTTPServer, витік інформації в _json, цілочисленне переповнення в lz4.

• Vulnerability in python-lz4 (деталі)
• python: _json module is vulnerable to arbitrary process memory read (деталі)
• Python CGIHTTPServer File Disclosure (деталі)

Виявлена можливість підвищення привілеїв в IBM DB2.

Уразливі версії: IBM DB2 9.5, DB2 9.7, DB2 9.8, DB2 10.1, DB2 10.5.

Небезпечне завантаження динамічних бібліотек.

• SetUID/SetGID Programs Allow Privilege Escalation Via Insecure RPATH In IBM DB2 (деталі)

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, MySQL і PeopleSoft.

Уразливі продукти: Oracle 11g, Oracle 12c, MySQL 5.5 і 5.6, Oracle Java SE 5, 6, 7 і 8, OpenJDK 7, Solaris 11.1, WebLogic Server 12.1, E-Business Suite 12i, JRockit 28.2, WebCenter Portal 11.1 та інші продукти Oracle.

104 уразливості у різних додатках виправлено в щоквартальному оновленні.

• Oracle Critical Patch Update Advisory - April 2014 (деталі)

Виявлена можливість виконання коду в Python бібліотеці python-GPG.

Уразливі версії: python-gnupg 2.3.

Можливі шел-ін’єкції.

• python-gnupg security update (деталі)