Websecurity - Веб безпека

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі версії: PHP 5.3, PHP 5.4.

Вичерпання ресурсів у функціях роботи з регулярними виразами POSIX.

• PHP 5.4/5.3 deprecated eregi() memory_limit bypass (деталі)

Виявлена DoS уразливість (вичерпання ресурсів) у модулі Apache FCGID.

Уразливі версії: Apache mod_fcgid 2.3.

Не працює обмеження FcgidMaxProcessesPerClass.

• libapache2-mod-fcgid security update (деталі)

Виявлена можливість проведення DoS атаки проти Apache Traffic Server.

Уразливі версії: Apache Traffic Server 3.0, Traffic Server 3.1.

Відмова сервера на довгому заголовку Host.

• Apache Traffic Server releases for security incident (деталі)

28.01.2012

Виявлені численні уразливості безпеки в Microsoft .Net.

Уразливі продукти: Microsoft .Net Framework на Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

DoS, численні уразливості при аутентифікації через форми.

• Critical authentication bypass in Microsoft ASP.NET Forms (деталі)
• Microsoft Security Bulletin MS11-100 - Critical Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420) (деталі)

28.03.2012

Додаткова інформація.

• Insecure Redirect in .NET Form Authentication - Redirect From Login Mechanism (ReturnURL Parameter) (деталі)

Виявлені уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 9.0.

Підвищення привілеїв через тригери, ін’єкція SQL при перезавантаженні pg_dump.

• Vulnerabilities in postgresql (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.6, Firefox 10.0, Firefox 11.0, Thunderbird 3.1, Thunderbird 10.0, Thunderbird 11.0, SeaMonkey 2.8.

Численні пошкодження пам’яті, підвищення привілеїв, міжсайтовий доступ.

• Mozilla Foundation Security Advisory 2012-12 (деталі)
• Mozilla Foundation Security Advisory 2012-13 (деталі)
• Mozilla Foundation Security Advisory 2012-14 (деталі)
• Mozilla Foundation Security Advisory 2012-15 (деталі)
• Mozilla Foundation Security Advisory 2012-16 (деталі)
• Mozilla Foundation Security Advisory 2012-17 (деталі)
• Mozilla Foundation Security Advisory 2012-18 (деталі)
• Mozilla Foundation Security Advisory 2012-19 (деталі)

16.02.2012

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Витік інформації, виконання коду.

• Microsoft Security Bulletin MS12-010 - Critical Cumulative Security Update for Internet Explorer (2647516) (деталі)

24.03.2012

Додаткова інформація.

• Microsoft Internet Explorer VML CDispScroller Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer CDispNode t:MEDIA Remote Code Execution Vulnerability (деталі)

Виявлена можливість обходу обмежень через модуль Perl XML::Atom.

Уразливі продукти: XML::Atom.

Можна одержати доступ на читання до обмежених ресурсів.

• libxml-atom-perl security update (деталі)

Виявлена можливість витоку інформації в nginx.

Уразливі версії: nginx 1.0.

Некоректна відповідь від сервера може приводити до витоку вмісту пам’яті.

• nginx fix for malformed HTTP responses from upstream servers (деталі)

05.02.2012

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle E-Business Suite 11.5, Oracle 10g, Oracle 11g, MySQL 5.0, MySQL 5.1, Oracle Application Server 10g, WebLogic Server 9.2, WebLogic Server 10.0, PeopleSoft Enterprise CRM 8.9 та інші продукти Oracle.

Близько 80 уразливостей у різних продуктах усунуто в щоквартальному оновленні.

• Oracle Outside In OOXML Relationship Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - January 2012 (деталі)

09.03.2012

Додаткова інформація.

• Oracle JD Edwards JDENET Arbitrary File Write (деталі)
• Oracle JD Edwards Security Kernel Remote Password Disclosure (деталі)
• Oracle JD Edwards SawKernel Arbitrary File Read (деталі)
• Oracle JD Edwards SawKernel GET_INI Information Disclosure (деталі)
• Oracle JD Edwards JDENET Multiple Information Disclosure (деталі)
• Oracle JD Edwards JDENET Large Packets Denial of Service (деталі)
• Oracle JD Edwards SawKernel SET_INI Configuration Modification (деталі)
• Oracle JD Edwards Security Kernel Information Disclosure (деталі)