Websecurity - Веб безпека

Виявлені DoS уразливості в ModSecurity.

Уразливі версії: ModSecurity 2.5.8 та попередні версії.

Декілька умов відмови в обслуговуванні.

• ModSecurity: Denial of Service (деталі)

Виявлене пошкодження пам’яті в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Пошкодження пам’яті при відкритті файлів Adobe Director 10.

• Security Update available for Shockwave Player (деталі)
• Adobe Shockwave Player Director File Parsing Pointer Overwrite Vulnerability (деталі)

Виявлена DoS уразливість в модулі Python PyCrypto.

Уразливі версії: Python PyCrypto 2.0.

Відмова при обробці ключа ARC2.

• python-pycrypto (деталі)

Виявлена DoS уразливість в Ruby.

Уразливі версії: Ruby 1.8.

Відмова на довгому рядку в BigDecimal.

• Ruby: Denial of Service (деталі)

Виявлене переповнення буфера в обробці HTTP відповідей в Google Chrome. Дана уразливість дозволяє скомпрометувати систему цільового користувача.

Уразливі версії: Google Chrome до версії 2.0.172.33.

Переповнення буфера виявлене при обробці деяких HTTP відповідей. У результаті можна виконати довільний код через спеціально оброблену HTTP відповідь, що була отримана від зловмисного HTTP сервера.

• Переполнение буфера в обработке HTTP ответов в Google Ghrome (деталі)

Виявлена можливість обходу захисту в Apache.

Уразливі версії: Apache 2.2.

Некоректна обробка опції IncludesNOEXEC дозволяє виконувати код через exec у включених файлах .shtml.

• [ MDVSA-2009:124 ] apache (деталі)

Виявлена можливість обходу захисту safemode в PHP.

Уразливі версії: PHP 5.2.

Можна обійти захист safemode за допомогою вставки зворотних слешей у команду.

• [PHP safe_mode bypass with exec/system/passthru] Once again (деталі)

08.06.2009

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 4.1, Tomcat 5.5, Tomcat 6.0.

Витік інформації, перевірка існування користувача, DoS.

• CVE-2009-0580 UPDATED Apache Tomcat User enumeration vulnerability with FORM authentication (деталі)
• CVE-2009-0783 Apache Tomcat Information disclosure (деталі)
• CVE-2009-0580 Apache Tomcat User enumeration vulnerability with FORM authentication (деталі)
• CVE-2009-0033 Apache Tomcat DoS when using Java AJP connector (деталі)

11.06.2009

Додаткова інформація.

• CVE-2008-5515 RequestDispatcher directory traversal vulnerability (деталі)

18.06.2009

Додаткова інформація.

• UPDATED CVE-2008-5515 RequestDispatcher directory traversal vulnerability (деталі)

Виявлена можливість проведення DoS атаки проти Mozilla Firefox на Linux та Unix платформах.

Уразливі версії: Mozilla Firefox 3.0.

Відмова при використанні великого зображення GIF в якості body background.

• Firefox (GNU/Linux version) <= 3.0.10 Denial Of Services (деталі)

10.06.2009

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5.01, 6, 7 та 8 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Міжсайтовий доступ, численні пошкодження пам’яті.

• [Full-disclosure] CORE-2008-0826 - Internet Explorer Security Zone restrictions bypass (деталі)
• Microsoft Security Bulletin MS09-019 - Critical Cumulative Security Update for Internet Explorer (969897) (деталі)

16.06.2009

Додаткова інформація.

• FortiGuard Advisory: Microsoft Internet Explorer DHTML Handling Remote Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer Event Handler Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer Concurrent Ajax Request Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer onreadystatechange Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer 8 Rows Property Dangling Pointer Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer setCapture Memory Corruption Vulnerability (деталі)