Websecurity - Веб безпека

Виявлена Buffer Overflow уразливість в PHP.

Уразливі версії: PHP 5.4.

Переповнення буфера при обробці файлів tar.

• php5 security update (деталі)

Виявлені уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 8.4.

Слабка реазлизация crypt(), DoS.

• postgresql-8.4 security update (деталі)

Виявлена можливість доступу за границі буфера через PDO в PHP.

Уразливі версії: PHP 5.4.

Доступ за границі буфера через прекомпільований запит.

• [php<=5.4.3] Parsing Bug in PHP PDO prepared statements may lead to access violation (деталі)

Виявлена можливість обходу захисту в Microsoft IIS.

Уразливі продукти: IIS 6 та 7.5 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Доступ до вмісту скриптових файлів, обхід парольного захисту.

• IIS 6.0/7.5 Vulnerabilities [moderate risk] (деталі)

23.02.2012

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 11.1.

Пошкодження пам’яті, обхід обмежень, міжсайтовий скриптінг.

• Security update available for Adobe Flash Player (деталі)

14.06.2012

Додаткова інформація.

• Adobe Flash Player MP4 Stream Decoding Remote Code Execution Vulnerability (деталі)

Виявлені проблеми з авторизацією в MySQL.

Уразливі версії: Oracle MySQL 5.0, MySQL 5.1, MySQL 5.5.

Некоректне обчислення хеша на деяких платформах дає можливість доступу без знання пароля.

• MySQL vulnerabilities (деталі)

15.05.2012

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.3.

DoS-умови, виконання коду, ін’єкції SQL.

• Vulnerabilities in PHP (деталі)
• Multiple vulnerabilities in PHP (деталі)

09.06.2012

Додаткова інформація.

• PHP CGI Argument Injection Remote Exploit V0.3 (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey

Уразливі продукти: Mozilla Firefox 12.0, Firefox ESR 10.0, Thunderbird 12.0, Thunderbird ESR 10.0, SeaMonkey 2.9.

Численні пошкодження пам’яті в основному коді і різних бібліотеках, міжсайтовий скриптінг, витік інформації.

• Mozilla Foundation Security Advisory 2012-20 (деталі)
• Mozilla Foundation Security Advisory 2012-21 (деталі)
• Mozilla Foundation Security Advisory 2012-22 (деталі)
• Mozilla Foundation Security Advisory 2012-23 (деталі)
• Mozilla Foundation Security Advisory 2012-24 (деталі)
• Mozilla Foundation Security Advisory 2012-25 (деталі)
• Mozilla Foundation Security Advisory 2012-26 (деталі)
• Mozilla Foundation Security Advisory 2012-27 (деталі)
• Mozilla Foundation Security Advisory 2012-28 (деталі)
• Mozilla Foundation Security Advisory 2012-29 (деталі)
• Mozilla Foundation Security Advisory 2012-30 (деталі)
• Mozilla Foundation Security Advisory 2012-31 (деталі)
• Mozilla Foundation Security Advisory 2012-32 (деталі)
• Mozilla Foundation Security Advisory 2012-33 (деталі)

25.04.2012

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, MySQL 5.5, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise HRMS 8.9, Oracle BI Publisher 10.1, PeopleSoft Enterprise CRM 9.1, PeopleSoft Enterprise SCM 9.0 та інші продукти Oracle.

Більше 90 уразливостей у різних продуктах усунуто в щоквартальному оновленні.

• The history of a -probably- 13 years old Oracle bug: TNS Poison (деталі)
• OCIPasswordChange API leaks information of password hash (деталі)
• Some failed authentication attempts using OCIPasswordChange API are not recorded (деталі)
• Incomplete protection of Oracle Database locked accounts (деталі)
• SQL Injection in Oracle Enterprise Manager (compareWizFirstConfig web page) (деталі)
• SQL Injection in Oracle Enterprise Manager (searchPage web page) (деталі)
• HTTP Response Splitting in Oracle Enterprise Manager (prevPage parameter) (деталі)
• HTTP Response Splitting in Oracle Enterprise Manager (pageName parameter) (деталі)
• OCIPasswordChange API leaks information of password hash (деталі)
• Oracle Enterprise Manager vulnerable to Session fixation (деталі)
• Oracle Critical Patch Update Advisory - April 2012 (деталі)

02.06.2012

Додаткова інформація.

• Re: The history of a -probably- 13 years old Oracle bug: TNS Poison (деталі)
• Oracle TNS Poison vulnerability is actually a 0day with no patch available (деталі)
• Patch Notification: Oracle Grid Engine sgepasswd Buffer Overflow (деталі)

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Remote Code Execution (CVE-2012-2031) (деталі)
• Adobe Shockwave Player Remote Code Execution (CVE-2012-2029) (деталі)
• Adobe Shockwave Player Remote Code Execution (CVE-2012-2030) (деталі)
• Security update available for Adobe Shockwave Player (деталі)