Websecurity - Веб безпека

Виявлені численні уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 9.1.

Пошкодження пам’яті, витік інформації, ін’єкція SQL.

• postgresql-9.1 security update (деталі)

У листопаді, 18.11.2014, через півтора місяці після виходу Google Chrome 38, вийшов Google Chrome 39.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Також зроблено наступні покращення безпеки: втілений у життя перший етап плану по припиненню довіри до сертифікатів, підписаним із застосуванням SHA-1; внесені зміни, спрямовані на блокування атак, що приводять до відкоту на використання протоколу SSLv3, що містить фундаментальні уразливості; припинена підтримка NPAPI-плагінів для 32-розрядних версій Windows (в Linux це було зроблено раніше).

Виправлені 42 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer.

• Релиз web-браузера Chrome 39 (деталі)

Виявлена Request Smuggling уразливість в Apache Tomacat.

Уразливі версії: Apache Tomcat 8.0.

Підміна запиту при обробці chunked encoding.

• Apache Tomcat Request Smuggling (деталі)

18.02.2015

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.6.

DoS в exif_process_unicode(), виконання коду в var_unserializer.re, розкриття інформації.

• Vulnerabilities in PHP (деталі)

21.02.2015

Додаткова інформація.

• PHP vulnerabilities (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті та міжсайтовий скриптінг.

• Microsoft Security Bulletin MS15-009 - Critical Security Update for Internet Explorer (3034682) (деталі)
• Cookie hijacking: Internet Explorer UXSS (деталі)
• Major Internet Explorer Vulnerability - NOT Patched (деталі)

Виявлені численні уразливості безпеки в Google Chrome і Chromium.

Уразливі продукти: Google Chrome 39, Chromium 39.0.

Численні уразливості при розборі HTML і різних форматів.

• Chromium and Oxide vulnerabilities (деталі)

У січні місяці Microsoft випустила 8 патчів. Що більше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 8 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Один патч закриває критичні уразливості та сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Network Policy Server, Internet Explorer (повторний випуск грудневих патчів і патчу для Adobe Flash Player в IE від 2012 року) та Windows TS WebProxy.

Виявлене виконання коду в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, 2013 Gold, SP1, Word Automation Services on SharePoint Server 2010 SP2, 2013 Gold, SP1.

Виконання коду при розборі формату Word.

• Microsoft Security Bulletin MS14-081 - Critical Vulnerabilities in Microsoft Word and Microsoft Office Web Apps Could Allow Remote Code Execution (3017301) (деталі)

Виявлена можливість проведення DoS атаки проти Microsoft Network Policy Server.

Уразливі продукти: Microsoft Windows 2003 Server, Windows 2008 Server, Windows 2012 Server.

Відмова при обробці імені користувача в запитах RADIUS.

• Microsoft Security Bulletin MS15-007 - Important Vulnerability in Network Policy Server RADIUS Implementation Could Cause Denial of Service (3014029) (деталі)

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, PeopleSoft і MySQL.

Уразливі продукти: Oracle 12.1, MySQL 5.5 і 5.6, Oracle Java SE 8, Solaris 10 і 11, WebLogic Server 12.1, E-Business Suite 12.2, JRockit 28.3, GlassFish Server 3.1, iLearning 6.1, WebLogic Portal 10.3 та інші продукти Oracle.

Більше 150 уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Oracle Critical Patch Update Advisory - January 2015 (деталі)