Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.0, Thunderbird 2.0, Seamonkey 1.1.

Ушкодження пам’яті, міжсайтовий доступ, міжсайтовий скриптінг.

• Mozilla Foundation Security Advisory 2009-14 (деталі)
• Mozilla Foundation Security Advisory 2009-15 (деталі)
• Mozilla Foundation Security Advisory 2009-16 (деталі)
• Mozilla Foundation Security Advisory 2009-17 (деталі)
• Mozilla Foundation Security Advisory 2009-18 (деталі)
• Mozilla Foundation Security Advisory 2009-19 (деталі)
• Mozilla Foundation Security Advisory 2009-20 (деталі)
• Mozilla Foundation Security Advisory 2009-21 (деталі)
• Mozilla Foundation Security Advisory 2009-22 (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5.01, 6 та 7 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Виконання коду, численні ушкодження пам’яті, NTLM-релеїнг.

• MS09-014: MSIE EMBED element race condition memory corruption (деталі)
• Moderate Blended Threat Vulnerability in SearchPath Could Allow Elevation of Privilege (959426) (деталі)
• Critical Cumulative Security Update for Internet Explorer (963027) (деталі)

31.01.2008

Виявлений обхід захисту безпечного режиму в PHP.

Уразливі версії: PHP 5.2.

Можливий доступ за межі обмеженого каталогу через модуль cURL.

• PHP 5.2.5 cURL safe_mode bypass (деталі)

21.04.2009

Додаткова інформація.

В PHP 5.2.9 також виявлена можливість обходу захисту безпечного режиму.

• PHP 5.2.9 curl safe_mode & open_basedir bypass (деталі)

Виявлені численні уразливості безпеки в Apache Geronimo.

Уразливі версії: Apache Geronimo 2.1.

Міжсайтовий скриптінг, зворотний шлях у каталогах.

• Apache Geronimo - Directory Traversal vulnerabilities (деталі)
• Apache Geronimo - XSS vulnerabilities (деталі)
• Apache Geronimo - XSRF vulnerabilities (деталі)

Виявлений міжсайтовий скриптінг в Apache mod_perl.

Уразливі версії: Apache mod_perl 1.3 та mod_perl 2.0.

Міжсайтовий скриптінг в perl-status.

• XSS with mod_perl perl_status utility (деталі)
• Vulnerability in mod_perl (деталі)

Виявлена DoS уразливість в PHP.

Уразливі версії: PHP 5.2.

Відмова на некоректних даних функції JSON_parser.

• Denial of Service in PHP (деталі)

Виявлені уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.0, Thunderbird 2.0, Seamonkey 1.1.

Виявлені ушкодження пам’яті, що можуть бути використані для виконання довільного коду.

• Mozilla Firefox XUL _moveToEdgeShift() Memory Corruption Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2009-12 (деталі)
• Mozilla Foundation Security Advisory 2009-13 (деталі)

Виявлена DoS уразливість в СУБД PostgreSQL.

Уразливі версії: PostgreSQL 7.4, PostgreSQL 8.0, PostgreSQL 8.1, PostgreSQL 8.2, PostgreSQL 8.3.

Вичерпання стека при показі повідомлення про помилку.

• [ MDVSA-2009:079 ] postgresql (деталі)

Виявлена проблема з завантаженням динамічних функцій в MySQL.

Уразливі версії: MySQL 5.0.

Можна завантажити функції по будь-якому розташуванню. Після вивантаження функції залишаються доступними. Дана атака можлива лише на Windows системах, бо вона використовує зворотні слеші. Вона подібна до Directory Traversal атак з використанням back slash, що я виявив у веб додатках (ще в 2007 році).

• reporting CVE (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.0, Thunderbird 2.0, Seamonkey 1.1.

Міжсайтовий доступ через XML, численні ушкодження пам’яті.

• Mozilla Foundation Security Advisory 2009-11 (деталі)
• Mozilla Foundation Security Advisory 2009-10 (деталі)
• Mozilla Foundation Security Advisory 2009-09 (деталі)
• Mozilla Foundation Security Advisory 2009-08 (деталі)
• Mozilla Foundation Security Advisory 2009-07 (деталі)