Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 34, Thunderbird 31.1, SeaMonkey 2.31.

Пошкодження пам’яті, обхід обмежень, ін’єкція заголовків.

• Mozilla Foundation Security Advisory 2015-01 (деталі)
• Mozilla Foundation Security Advisory 2015-02 (деталі)
• Mozilla Foundation Security Advisory 2015-03 (деталі)
• Mozilla Foundation Security Advisory 2015-04 (деталі)
• Mozilla Foundation Security Advisory 2015-05 (деталі)
• Mozilla Foundation Security Advisory 2015-06 (деталі)
• Mozilla Foundation Security Advisory 2015-07 (деталі)
• Mozilla Foundation Security Advisory 2015-08 (деталі)
• Mozilla Foundation Security Advisory 2015-09 (деталі)

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 16.0.

Typejacking, виконання коду, пошкодження пам’яті, переповнення буфера, розкриття інформації.

• Adobe Security Bulletin Security updates available for Adobe Flash Player (деталі)

У січні, 13.01.2015, вийшов Mozilla Firefox 35. Нова версія браузера вийшла через півтора місяці після виходу Firefox 34.

Mozilla офіційно випустила реліз веб-браузера Firefox 35, а також мобільну версію Firefox 35 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 36 намічений на 24 лютого, а Firefox 37 на 7 квітня.

Також були випущені Seamonkey 2.32 та оновлені гілки із тривалим терміном підтримки Firefox 31.4 і Thunderbird 31.4.

Серед покращень безпеки реалізовано HTTP-розширення для механізму прив’язки відкритих ключів (Public Key Pinning), що дозволяє явно визначити сертифікати яких центрів, що засвідчують, можливо використовувати для заданого сайта.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 35.0 усунуто 9 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 35 (деталі)

Виявлене переповнення буфера в PCRE.

Уразливі версії: PCRE 8.36.

Переповнення буфера при розборі регулярних виразів.

• Vulnerability in pcre (деталі)

25.12.2014

Виявлена можливість проведення DoS атаки проти Apache Subversion.

Уразливі версії: Apache Subversion 1.8.

Звертання по нульовій адресі в mod_dav_svn при обробці запитів REPORT.

• subversion security update (деталі)

16.01.2015

Додаткова інформація:

• Vulnerabilities in subversion (деталі)

У грудні, 18.12.2014, вийшли PHP 5.4.36, PHP 5.5.20 і PHP 5.6.4. У версії 5.4.36 виправлено 2 уразливості, у версіях 5.5.20 і 5.6.4 виправлено декілька багів і 1 уразливість.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.36, 5.5.20 і 5.6.4 виправлено:

• Уразливість NULL pointer dereference в unserialize().
• Уразливість Use after free в unserialize().
• Також оновлена бібліотека crypt_blowfish до версії 1.3 (в PHP 5.4.36).

По матеріалам http://www.php.net.

Виявлена ін’єкція заголовків (CRLF injection) в cURL і libcurl.

Уразливі продукти: cURL 7.39, libcurl 7.39.

Ін’єкція заголовків через URL.

• CRLF injection vulnerability in curl (деталі)

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 0.9, OpenSSL 1.0.

DoS, недостатня перевірка фінгерпринтів, недостатня перевірка сертифіката, downgrade-атаки, обхід аутентифікації.

• OpenSSL vulnerabilities (деталі)

У жовтні, 24.10.2014, вийшов Mozilla Firefox 33.0.1. Нова версія браузера вийшла через 10 днів після виходу Firefox 33.

Це коригувальний випуск в якому усунуто проблему, коли показувалася пуста сторінка при запуску браузера з деякими графічними драйверами.

У жовтні, 28.10.2014, вийшов Mozilla Firefox 33.0.2.

Це коригувальний випуск в якому усунуто проблему, що приводить до краху при запуску браузера з деяким обладнанням і драйверами.

Виявлена можливість обходу аутентіфикації в Apache CloudStack.

Уразливі версії: Apache CloudStack 4.4.

Не перевіряється пароль на LDAP-біндах.

• Apache CloudStack unauthenticated LDAP binds (деталі)