Websecurity - Веб безпека

Виявлений витік інформації в cURL і libcurl.

Уразливі продукти: cURL 7.38, libcurl 7.38.

Витік умісту пам’яті через POST-запит.

• Vulnerability in curl (деталі)

Виявлена моживість проведення DoS атаки проти Ruby.

Уразливі версії: Ruby 2.1.

Вичерпання ресурсів при розборі XML. Пошкодження пам’яті в encodes().

• Ruby vulnerability (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Витоки інформації та численні пошкодження пам’яті.

• Microsoft Security Bulletin MS14-065 - Critical Cumulative Security Update for Internet Explorer (3003057) (деталі)

Виявлена уразливість міжсайтового скриптінгу в Microsoft SharePoint Server.

Уразливі продукти: Microsoft SharePoint Server 2010.

Збережений міжсайтовий скриптінг - persistent XSS.

• Microsoft Security Bulletin MS14-073 - Important Vulnerability in Microsoft SharePoint Foundation Could Allow Elevation of Privilege (3000431) (деталі)

Виявлена можливість виконання коду в Apache Struts і commons-beanutils.

Уразливі продукти: Apache Struts 1.3.10, commons-beanutils 1.9.1.

Необмежений доступ до параметра class в об’єкті ActionForm.

• commons-beanutils: ‘class’ property is exposed, potentially leading to RCE (деталі)

25.10.2014

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, PeopleSoft і MySQL.

Уразливі продукти: Oracle 11g, Oracle 12c, MySQL 5.5 і 5.6, Oracle Java SE 5, 6, 7 і 8, Solaris 11, WebLogic Server 12.1, E-Business Suite 12i, JRockit 28.3, Application Express 4.2 та інші продукти Oracle.

138 уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Breaking Oracle Database through Java exploits (details) (деталі)
• Potential Cross-Site Scripting in ADF Faces (деталі)
• Oracle Critical Patch Update Advisory - October 2014 (деталі)

13.11.2014

Додаткова інформація.

• Missing patches / inaccurate information regarding Oracle Oct CPU (деталі)

В минулому році, 07.11.2013, компанія Microsoft випустила фінальну версію браузера Internet Explorer 11. Вихід нової версії відбувся по суті через рік після виходу IE10.

Незважаючи на заяви Microsoft про підвищену безпеку нового IE11, не встиг він вийти, як його швидко взломали. Уразливості в Internet Explorer 11 (а також в попередніх версіях браузера) були виявлені на початку листопада 2013 року та виправлені в патчі для IE в тому ж місяці.

З тих пір в IE11 знаходили багато уразливостей. Що цілком типово для програмних продуктів Microsoft.

28.10.2014

Виявлене пошкодження пам’яті в PHP.

Уразливі версії: PHP 5.5.

Пошкодження пам’яті при розборі JPEG в exif_thumbnail(), exif_ifd_make_value(), переповнення буфера в XMLRPC, цілочисленне переповнення в object_custom function.

• Vulnerability in PHP (деталі)

11.11.2014

Додаткова інформація.

• php5 vulnerabilities (деталі)

Виявлений витік інформації в IBM WebSphere Portal.

Уразливі версії: IBM WebSphere Portal 8.0.

Можна одержати відомості про конфігурацію.

• IBM Web Content Manager (WCM) XPath Injection (деталі)

У жовтні місяці Microsoft випустила 9 патчів. Що значно більше ніж у вересні.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Один патч закриває критичну уразливість, сім патчів закривають важливі та один помірну уразливість.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, .NET Framework, ASP.NET MVC та SharePoint Server.