Websecurity - Веб безпека

Виявлений витік інформації в Jetty.

Уразливі версії: Jetty 9.2.

Витік умісту буферів пам’яті.

• JetLeak Vulnerability: Remote Leakage Of Shared Buffers In Jetty Web Server (деталі)

У березні місяці Microsoft випустила 14 патчів. Що більше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 14 бюлетенів по безпеці. Що закривають 43 уразливості в програмних продуктах компанії. П’ять патчів закривають критичні уразливості та дев’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, Exchange Server, Office Web Apps і SharePoint Server.

У лютому, 18-19.02.2015, вийшли PHP 5.4.38, PHP 5.5.22 і PHP 5.6.6. У версії 5.4.38 виправлено 7 уразливостей, у версіях 5.5.22 і 5.6.6 виправлено декілька багів і 4 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.38, 5.5.22 і 5.6.6 виправлено:

• Buffer overflow уразливість в glibc gethostbyname.
• Некоректне визначання підтримки системою crypt sha256/sha512.
• Use after free уразливість в unserialize() з DateTimeZone.
• Heap buffer overflow уразливість в enchant_broker_request_dict().
• SoapServer не підтримує великі повідомлення.
• Прибрана підтримка багаторядкових заголовків. Це захищає від CRLF Injection уразливостей.
• Доданий захист від NULL byte в exec, system і passthru.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в Apache Taglibs.

Уразливі версії: Apache Taglibs 1.2.

Виконання коду, XXE.

• CVE-2015-0254 XXE and RCE via XSL extension in JSTL XML tags (деталі)

У січні, 21.01.2015, через два місяці після виходу Google Chrome 39, вийшов Google Chrome 40.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Також зроблено наступні покращення безпеки: додана можливість блокування профілю в браузері для запобігання доступу сторонніх до облікового запису (коли це потрібно) та додана підтримка нових директив, представлених у другій версії специфікації Content Security Policy (CSP).

Виправлені 62 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Релиз web-браузера Chrome 40 (деталі)

У січні, 22.01.2015, вийшли PHP 5.4.37, PHP 5.5.21 і PHP 5.6.5. У версії 5.4.37 виправлено 6 уразливостей, у версіях 5.5.21 і 5.6.5 виправлено декілька багів і 8 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.37, 5.5.21 і 5.6.5 виправлено:

• Use after free уразливість в unserialize().
• Читання out of bounds призводило до вибивання php-cgi.
• Уразливість при роботі з EXIF.
• Дві уразливості в розширені Fileinfo.
• Обхід перевірки сертифікатів в розширені OpenSSL.
• Explicit double free уразливість (в PHP 5.5.21 і 5.6.5).
• Вибивання при некоректних HTTP запитах (в PHP 5.5.21 і 5.6.5).
• Buffer overflow уразливість розширені GD (в PHP 5.5.21 і 5.6.5).
• Також оновлена бібліотека crypt_blowfish до версії 1.3 (в PHP 5.5.21 і 5.6.5).

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.5, PHP 5.6.

Вичерпання ресурсів, пошкодження пам’яті.

• php5 security update (деталі)
• PHP vulnerabilities (деталі)

У лютому місяці Microsoft випустила 9 патчів. Що більше ніж у січні.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають 56 уразливостей в програмних продуктах компанії. Три патчі закривають критичні уразливості та шість патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, Office Web Apps і SharePoint Server.

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010, Word Automation Services in SharePoint Server 2010.

Виконання коду, використання пам’яті після звільнення.

• Microsoft Security Bulletin MS15-012 - Important Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3032328) (деталі)
• Microsoft Security Bulletin MS15-013 - Important Vulnerability in Microsoft Office Could Allow Security Feature Bypass (3033857) (деталі)

У лютому, 24.02.2015, вийшов Mozilla Firefox 36. Нова версія браузера вийшла через півтора місяці після виходу Firefox 35.

Mozilla офіційно випустила реліз веб-браузера Firefox 36, а також мобільну версію Firefox 36 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 37 намічений на 31 березня, а Firefox 38 на 12 травня.

Також були випущені Seamonkey 2.33 та оновлені гілки із тривалим терміном підтримки Firefox 31.5 і Thunderbird 31.5.

В цій версії додана підтримка протоколу HTTP/2.0. Серед покращень безпеки відбувся перехід до другої фази припинення підтримки сертифікатів на основі 1024-розрядних ключів RSA та був визнаний небезпечним шифр RC4.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 36.0 усунуто 17 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 36 с поддержкой HTTP/2.0 (деталі)