Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Google Chrome і Chromium.

Уразливі продукти: Google Chrome 41, Chromium 41.

Численні пошкодження пам’яті та уразливості при розборі HTML.

• chromium-browser security update (деталі)
• chromium-browser security update (деталі)

У травні, 14.05.2015, вийшли PHP 5.4.41, PHP 5.5.25 і PHP 5.6.9. У версії 5.4.41 виправлено 7 уразливостей, у версіях 5.5.25 і 5.6.9 виправлено декілька багів і декілька уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.41, 5.5.25 і 5.6.9 виправлено:

• Виправлено 7 уразливостей.
• Уразливість в бібліотеці OpenSSL (в PHP 5.5.25 і 5.6.9).
• Бібліотека pcrelib оновлена до версії 8.37, в якій виправлені 2 уразливості (в PHP 5.4.41 і 5.6.9).

По матеріалам http://www.php.net.

Виявлені уразливості в cURL.

Уразливі продукти: cURL 7.41, libcurl 7.41.

Витік інформації, DoS.

• curl vulnerabilities (деталі)
• Vulnerabilities in cURL (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 31.5, Firefox 36, Thunderbird 31.5, SeaMonkey 2.34.

Обхід перевірки сертифіката, виконання коду, обхід обмежень, пошкодження пам’яті, перехоплення курсору.

• MFSA 2015-30 Miscellaneous memory safety hazards (деталі)
• MFSA 2015-31 Use-after-free when using the Fluendo MP3 GStreamer plugin (деталі)
• MFSA 2015-32 Add-on lightweight theme installation approval bypassed through MITM attack (деталі)
• MFSA 2015-33 resource:// documents can load privileged pages (деталі)
• MFSA 2015-34 Out of bounds read in QCMS library (деталі)
• MFSA 2015-35 Cursor clickjacking with flash and images (деталі)
• MFSA 2015-36 Incorrect memory management for simple-type arrays in WebRTC (деталі)
• MFSA 2015-37 CORS requests should not follow 30x redirections after preflight (деталі)
• MFSA 2015-38 Memory corruption crashes in Off Main Thread Compositing (деталі)
• MFSA 2015-39 Use-after-free due to type confusion flaws (деталі)
• MFSA 2015-40 Same-origin bypass through anchor navigation (деталі)
• MFSA 2015-41 PRNG weakness allows for DNS poisoning on Android (деталі)
• MFSA 2015-42 Windows can retain access to privileged content on navigation to unprivileged pages (деталі)
• MFSA 2015-43 Loading privileged content through Reader mode (деталі)
• MFSA 2015-44 Certificate verification bypass through the HTTP/2 Alt-Svc header (деталі)
• MFSA 2015-45 Memory corruption during failed plugin initialization (деталі)

В серпні відбувся новий масовий взлом сайтів на сервері Goodnet. Він тривав на протязі 2012 - 2015 років: з 18.10.2012 по 01.03.2015. Перший масовий взлом сайтів на сервері Goodnet відбувся раніше.

Був взломаний сервер української компанії Goodnet. Взлом, що складався з декількох масових дефейсів та багатьох окремих дефейсів по одному або декількох сайтах, відбувся в той же період, що і згаданий масовий взлом сайтів на сервері Delta-X.

Всього було взломано 287 сайтів на сервері хостера Goodnet (IP 91.203.147.240). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти bogodukhivrda.gov.ua і new.bogodukhivrda.gov.ua.

Під час взломів хакерів DR-MTMRD, Iran Security Team, LogiNTurk та Black CyberSec Crew було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Виявлена можливість обходу перевірок SSL в Ruby.

Уразливі версії: Ruby 1.8, Ruby 2.0.

Некоректна реалізація перевірки імені сервера.

• Vulnerability in Ruby (деталі)

Виявлений витік інформації в Perl модулі XML::LibXML (через XXE атаку).

Уразливі версії: Perl XML::LibXML до 2.0119.

Розкриття інформації при роботі з entity.

• XML::LibXML vulnerability (деталі)

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.5.

Пошкодження пам’яті при розборі архівів, виконання коду в apache2handler.

• Vulnerabilities in PHP (деталі)

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, PeopleSoft і MySQL.

Уразливі продукти: Oracle 11.2 і 12.1, MySQL 5.6, Oracle Java SE 8, Solaris 10 і 11.2, WebLogic Server 12.1, E-Business Suite 12.2, JRockit 28.3, GlassFish Server 3.1, iPlanet Web Proxy Server 4.0, iPlanet Web Server 7.0 та інші продукти Oracle.

Більше 90 уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Oracle Outside In ibpsd2.dll PSD File Processing Buffer Overflow Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - April 2015 (деталі)

Виявлені уразливості безпеки в PHP і libgd.

Уразливі продукти: PHP 5.5, libgd 2.1.

Переповнення буфера, звернення по нульовому вказівнику.

• libgd2 security update (деталі)