Websecurity - Веб безпека

Виявлена Cross-Site Scripting уразливість у бібліотеці Microsoft AntiXSS.

Уразливі версії: Microsoft AntiXSS 4.0.

Міжсайтовий скриптінг при парсінгу HTML.

• Microsoft Anti-XSS Library Bypass (деталі)
• Microsoft Security Bulletin MS12-007 - Important Vulnerability in AntiXSS Library Could Allow Information Disclosure (2607664) (деталі)

Виявлені уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 6.0, Tomcat 7.0.

DoS, витік інформації.

• Apache Tomcat Information disclosure (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.6, Firefox 8.0, Thunderbird 3.1, Thunderbird 8.0, SeaMonkey 2.5.

Пошкодження пам’яті, обхід захисту, цілочислені переповнення, DoS-умови.

• Mozilla Foundation Security Advisory 2011-53 (деталі)
• Mozilla Foundation Security Advisory 2011-54 (деталі)
• Mozilla Foundation Security Advisory 2011-55 (деталі)
• Mozilla Foundation Security Advisory 2011-56 (деталі)
• Mozilla Foundation Security Advisory 2011-57 (деталі)
• Mozilla Foundation Security Advisory 2011-58 (деталі)
• Mozilla Foundation Security Advisory 2011-59 (деталі)

Виявлена можливість підвищення привілеїв в Apache.

Уразливі версії: Apache 2.0, Apache 2.2.

Підвищення привілеїв через SetEnvif у сполученні з заголовками HTTP-запиту.

• Integer overflow in Apache HTTP Server (деталі)

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі версії: PHP 5.3.

Звертання по нульовому вказівнику через неперевірене значення zend_strndup.

• PHP 5.3.8 Multiple vulnerabilities (деталі)

Виявлені уразливості безпеки в Perl.

Уразливі версії: Perl 5.15.

Можливе впровадження коду через eval у конструкторі в модулі Digest. Однобайтове переповнення буфера в decode_xs.

• Vulnerabilities in Perl (деталі)

15.12.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Витік інформації, небезпечне завантаження бібліотек.

• Microsoft Security Bulletin MS11-099 - Important Cumulative Security Update for Internet Explorer (2618444) (деталі)

29.12.2011

Додаткова інформація.

• Microsoft Windows Media Player DVR-MS Buffer Overflow Vulnerability (MS11-092) (деталі)

17.11.2011

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.0, AIR 3.0.

Численні пошкодження пам’яті, переповнення буфера, міжсайтовий доступ до даних.

• Security update available for Adobe Flash Player (деталі)

28.12.2011

Додаткова інформація.

• Adobe Flash Player “SAlign” Memory Corruption Vulnerability (CVE-2011-2459) (деталі)

Виявлені численні уразливості безпеки в серії програмних продуктів Websense. Випускати вразливі додатки є типовим для секюріті компаній, в цьому вони не відрізняються від інших компаній виробників ПЗ. Зокрема це стосується Websense, про уразливості в програмах якої я вже неодноразово писав.

Уразливі продукти: Websense Web Security Gateway Anywhere v7.6, Websense Web Security Gateway v7.6, Websense Web Security v7.6, Websense Web Filter v7.6.

Виконання коду, міжсайтовий скриптінг.

• Websense Triton 7.6 - Authentication bypass in report management UI (деталі)
• Websense Triton 7.6 - Stored XSS in report management UI (деталі)
• Websense Triton 7.6 - Unauthenticated remote command execution as SYSTEM (деталі)
• Websense Triton 7.6 - Reflected XSS in report management UI (деталі)

Виявлені недовірені сертифікати Digicert Sdn. Bhd.

Уразливі продукти: OpenSSL 0.9, OpenSSL 1.0.

Центром, що засвідчує, було видано кілька слабких сертифікатів.

Ситуація з цим видавцем сертифікатів подібна до інцидента з Comodo, що стався весною, та інцидента з DigiNotar, що стався влітку. Такі виробники браузерів як Mozilla та Microsoft вже анулювали сертифікати Digicert в своїх продуктах.

• openssl security update (деталі)