Websecurity - Веб безпека

У грудні, 18.12.2014, вийшли PHP 5.4.36, PHP 5.5.20 і PHP 5.6.4. У версії 5.4.36 виправлено 2 уразливості, у версіях 5.5.20 і 5.6.4 виправлено декілька багів і 1 уразливість.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.36, 5.5.20 і 5.6.4 виправлено:

• Уразливість NULL pointer dereference в unserialize().
• Уразливість Use after free в unserialize().
• Також оновлена бібліотека crypt_blowfish до версії 1.3 (в PHP 5.4.36).

По матеріалам http://www.php.net.

Виявлена ін’єкція заголовків (CRLF injection) в cURL і libcurl.

Уразливі продукти: cURL 7.39, libcurl 7.39.

Ін’єкція заголовків через URL.

• CRLF injection vulnerability in curl (деталі)

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 0.9, OpenSSL 1.0.

DoS, недостатня перевірка фінгерпринтів, недостатня перевірка сертифіката, downgrade-атаки, обхід аутентифікації.

• OpenSSL vulnerabilities (деталі)

У жовтні, 24.10.2014, вийшов Mozilla Firefox 33.0.1. Нова версія браузера вийшла через 10 днів після виходу Firefox 33.

Це коригувальний випуск в якому усунуто проблему, коли показувалася пуста сторінка при запуску браузера з деякими графічними драйверами.

У жовтні, 28.10.2014, вийшов Mozilla Firefox 33.0.2.

Це коригувальний випуск в якому усунуто проблему, що приводить до краху при запуску браузера з деяким обладнанням і драйверами.

Виявлена можливість обходу аутентіфикації в Apache CloudStack.

Уразливі версії: Apache CloudStack 4.4.

Не перевіряється пароль на LDAP-біндах.

• Apache CloudStack unauthenticated LDAP binds (деталі)

У грудні місяці Microsoft випустила 7 патчів. Що менше ніж у листопаді.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Три патчі закривають критичні уразливості та чотири патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, SharePoint Server та Exchange Server.

Виявлена DoS уразливість в СУБД Firebird.

Уразливі версії: Firebird 2.5.

Звертання по нульовому вказівнику.

• firebird2.5 security update (деталі)

Виявлений витік даних у Mozilla NSS.

Уразливі продукти: Mozilla NSS 3.17 та інші продукти Mozilla з цією бібліотекою.

Витік інформації в декодуванні QuickDER та уразливість POODLE.

• Vulnerabilities in NSS (деталі)

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.6.

Пошкодження пам’яті та використання пам’яті після звільнення в unserialize().

• Vulnerabilities in PHP (деталі)

Виявлена можливість підвищення привілеїв у Apache mod_wsgi.

Уразливі версії: Apache mod_wsgi 4.2.

Некоректна обробка помилок може привести до підвищення привілеїв.

• Vulnerability in apache-mod_wsgi (деталі)