Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 13.0, Air 13.0.

Використання пам’яті після звільнення, переповнення буфера, обхід обмежень, міжсайтовий скриптінг.

• Adobe Flash ExternalInterface Use-After-Free Code Execution (Pwn2Own) (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)

Виявлені race condition уразливості в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Короткочасні умови приводять до DoS чи можливості ін’єкції даних.

• OpenSSL vulnerabilities (деталі)
• FreeBSD Security Advisory FreeBSD-SA-14:09.openssl (деталі)

Виявлена уразливість використання пам’яті після звільнення в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Use-after-free уразливість в VGX.DLL активно використовується in-the-wild.

• Microsoft Security Bulletin MS14-021 - Critical Security Update for Internet Explorer (2965111) (деталі)

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 34.0, Chromium 34.0.

Міжсайтовий скриптінг, цілочисленні переповнення, DoS, пошкодження пам’яті, підміна URL.

• chromium-browser security update (деталі)

12.04.2014

Виявлені уразливості безпеки в OpenSSL. Зокрема одна уразливість дозволяє провести Heartbleed атаку, що дозволяє отримати секретний ключ шифрування на веб сервері і розшифрувати SSL трафік. Що зараз активно використовується для атак в Інтернеті.

Уразливі версії: OpenSSL 1.0.

Витік інформації, відновлення ключа.

• OpenSSL vulnerabilities (деталі)

22.04.2014

Додаткова інформація.

• FreeBSD Security Advisory FreeBSD-SA-14:06.openssl (деталі)
• HP Software Autonomy WorkSite Server (On-Premises Software), Running OpenSSL, Remote Disclosure of Information (деталі)
• HP Autonomy WorkSite Server v9.0 (деталі)
• HP XP P9500 Disk Array running OpenSSL, Remote Disclosure of Information (деталі)
• HP System Management Homepage (SMH) running OpenSSL on Linux and Windows, Remote Disclosure of Information (деталі)
• HP Smart Update Manager (SUM) running OpenSSL, Remote Disclosure of Information (деталі)
• HP BladeSystem c-Class Onboard Administrator (OA) running OpenSSL, Remote Disclosure of Information (деталі)
• HP Software Server Automation, “HeartBleed” OpenSSL Vulnerability, Remote Disclosure of Information (деталі)
• HP Software Service Manager, “HeartBleed” OpenSSL Vulnerability, Remote Disclosure of Information (деталі)
• OpenSSL 1.0.1 library’s “Heart bleed” vulnerability - CVE-2014-0160 (деталі)
• HP Software HP Service Manager, Asset Manager, UCMDB Browser, Executive Scorecard, Server Automation, Diagnostics, LoadRunner, Performance Center, “HeartBleed” OpenSSL Vulnerability, Remote Disclosure (деталі)

Виявлена можливість підміни SSL з’єднань в Mozilla Network Security Services (NSS).

Уразливі версії: Mozilla NSS 3.15.

Некоректна реалізація TLS False Start.

• NSS vulnerability (деталі)

28.02.2014

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0, Tomcat 8.0.

Витік інформації, DoS, фіксація сеансів.

• CVE-2013-4590 Information disclosure via XXE when running untrusted web applications (деталі)
• CVE-2013-4322 Incomplete fix for CVE-2012-3544 (Denial of Service) (деталі)
• CVE-2013-4286 Incomplete fix for CVE-2005-2090 (Information disclosure) (деталі)
• CVE-2014-0033 Session fixation still possible with disableURLRewriting enabled (деталі)

16.04.2014

Додаткова інформація.

• Apache Commons FileUpload and Apache Tomcat DoS (деталі)

Виявлені численні уразливості безпеки в cURL.

Уразливі версії: cURL 7.36.

Витік інформації, обхід перевірки сертифікатів.

• Vulnerabilities in curl (деталі)

12.02.2014

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті, підвищення привілеїв, міжсайтовий доступ до даних.

• Многочисленные уязвимости безопасности в Microsoft Internet Explorer (деталі)

12.04.2014

Додаткова інформація.

• MS14-010 CVE-2014-0293 Technical Details and Code (деталі)

Виявлені DoS уразливості в Net-SNMP. Ця утиліта існує у вигляді стаціонарної програми та у вигляді Perl і Python модулей.

Уразливі версії: Net-SNMP 5.7.

Декілька DoS-умов.

• Vulnerabilities in Net-SNMP (деталі)