Websecurity - Веб безпека

Виявлена можливість виконання коду в Microsoft Internet Information Services.

Уразливі версії: Microsoft IIS 6 під Windows XP та Windows 2003 Server.

Файли з папок з розширенням .asp обробляються як ASP-сценарії незалежно від розширення файлу.

• Microsoft IIS 6 parsing directory “x.asp” Vulnerability (деталі)

Виявлена можливість пошкодження пам’яті в різних браузерах для мобільних пристроїв.

Уразливі продукти: вбудовані браузери BlackBerry, HTC Windows, Apple iPhone, Apple iPod, Google Android.

Можливе пошкодження пам’яті при обробці URL. Що призводить до DoS атаки на дані браузери.

• Update your BlackBerry (деталі)

Виявлена можливість несанкціонованого доступу в Objectivity/DB.

Уразливі версії: Objectivity/DB 10.

Можливе виконання деяких команд без аутентфікації.

• Objectivity/DB Lack of Authentication Remote Exploit (деталі)

Виявлені численні уразливості в PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

Можливі обхід захисту від XSS, обхід open_basedir(), DoS при обробці zip-архівів, DoS в функції filter_var(), читання довільної пам’яті в функції mb_strcut, DoS в функції NumberFormatter::getSymbol, DoS в функції zend_strtod.

• PHP vulnerabilities (деталі)

Виявлена можливість виконання коду в Apache Axis2 та програмних продуктах, що містять Axis2.

Уразливі продукти: ARCserve D2D 15, HP Universal CMDB Server 9.0, SAP BusinessObjects Crystal Reports Server 2008.

Обліковий запис за замовчуванням.

• CA ARCserve D2D r15 Web Service Apache Axis2 World Accessible Servlet Code Execution Vulnerability Poc (деталі)
• Security Notice for CA ARCserve D2D (деталі)

Додаткова інформація.

• Security Notice for CA ARCserve D2D (updated) (деталі)

Виявлене переповнення стека в Apache mod-fcgid - модулі FastCGI інтерфейса для Apache 2.

Уразливі версії: Apache mod_fcgid 2.3.

Переповнення стека при роботі додатка FCGI.

• New libapache2-mod-fcgid packages fixes stack overflow (деталі)

Виявленнні численні уразливості безпеки в багатьох браузерах. Зокрема уразливості виявлені в Internet Explorer, WebKit браузерах, Mozilla Firefox та Opera.

За допомогою фьюзера cross_fuzz було виявлено біля сотні різних уразливостей, переважно пов’язаних з пошкодженням динамічної пам’яті. Даний додаток був розроблений Michal Zalewski.

• Announcing cross_fuzz, a potential 0-day in circulation, and more (деталі)

Виявлена HTTP Response Splitting уразливість в Perl модулі CGI::Simple.

Уразливі продукти: CGI.pm до версії 3.50, Simple.pm в CGI::Simple 1.112 і попередніх версіях.

Можлива ін’єкція довільних HTTP заголовків.

• Vulnerability in perl-CGI-Simple (деталі)

Виявлена уразливість в Apple Safari та Google Chrome.

Уразливі продукти: Apple Safari та Google Chrome.

Можливо підмінити адресу в браузерах.

• minor browser UI nitpicking (деталі)

Виявлена можливість виконання коду в Microsoft SharePoint.

Уразливі версії: Microsoft SharePoint Server 2007.

Виконання коду в Document Conversions Launcher Service при обробці запиту SOAP.

• Microsoft Security Bulletin MS10-104 - Important Vulnerability in Microsoft SharePoint Could Allow Remote Code Execution (2455005) (деталі)