Websecurity - Веб безпека

Виявлена можливість проведення DoS атаки проти Perl модуля Email-Address.

Уразливі версії: Perl Email::Address до 1.905.

Вичерпання ресурсів при розборі адреси.

• Vulnerabilities in perl-Email-Address (деталі)

Виявлений витік інформації в Mozilla Firefox і Microsoft Internet Explorer.

Уразливі продукти: Mozilla Firefox до 33.0, Microsoft Internet Explorer 11 та попередні версії.

Можливий витік умісту пам’яті при розборі зображень.

• two browser mem disclosure bugs (CVE-2014-1580) (деталі)

Виявлені численні уразливості безпеки в Google Chrome і Chromium.

Обхід обмежень, пошкодження пам’яті, витік інформації, підміна URL.

Уразливі продукти: Google Chrome 36.0, Chromium 36.0.

• chromium-browser security update (деталі)

Виявлена проблема символьних лінків в Perl модулі XML-DT.

Уразливі версії: Perl XML-DT 0.63.

Можна провести symlink атаку через у mkxmltype і mkdtskel.

• Vulnerability in perl-XML-DT (деталі)

Виявлена можливість підміни сигнатур RSA у бібліотеці Mozilla NSS.

Уразливі продукти: Mozilla Firefox 32.0, Firefox ESR 31.1, Thunderbird 31.1, SeaMonkey 2.29, NSS 3.17.

Обхід перевірки сигнатури через неправильну обробку довжини запису в ASN.1.

• Mozilla Foundation Security Advisory 2014-73 (деталі)

У вересні, 19.09.2014, вийшов Mozilla Firefox 32.0.2. Нова версія браузера вийшла через 6 днів після виходу Firefox 32.0.1.

Це коригувальний випуск в якому усунуто проблему, що приводить до краху при спробі виконати оновлення пошкодженої інсталяції Firefox.

У вересні, 25.09.2014, вийшли Mozilla Firefox 32.0.3 та Firefox ESR 24.8.1, 31.1.1, Thunderbird 24.8.1, 31.1.2 і SeaMonkey 2.29.1. А також вийшов Google Chrome 37.0.2062.124.

У нових випусках усунута небезпечна уразливість у бібліотеках, що поставляються в комплекті NSS, що допускає створення підроблених RSA-сертифікатів. Проблема також усунута у оновленнях NSS 3.16.2.1, NSS 3.16.5 і NSS 3.17.1.

Скориставшись даною уразливістю, нападник може сформувати фальсифікований RSA-сертифікат, що може бути застосований для виведення індикатора довіри при організації захищеного з’єднання з підробленим сайтом, закамуфльованим під інший сайт.

Виявлений витік інформації в nginx.

Уразливі версії: nginx 1.4.

Некоректне використання кешованих сесій.

• nginx vulnerability (деталі)

Виявлене переповнення стека в Perl в модулі Data::Dumper.

Уразливі версії: Perl 5.20.

Переповнення стека при рекурсії.

• Perl CORE - Deep Recursion Stack Overflow (деталі)

У вересні, 13.09.2014, вийшов Mozilla Firefox 32.0.1. Нова версія браузера вийшла через 11 днів після виходу Firefox 32.

Це коригувальний випуск в якому проведена робота над помилками, виявленими після публікації Firefox 32. Зокрема усунута серія проблем, що впливають на стабільність роботи і виявляються на комп’ютерах з декількома графічними картами. Також виправлені численні помилки і вирішена одна проблема в версії для платформи Android.

Хоча офіційно жодних дірок не виправлено (Mozilla типово применшила кількість уразливостей), я відношу проблему з вибиванням браузера на ПК з декількома графічними картами до уразливостей. Це DoS уразливість в браузері.

Виявлена Cross-Site Scripting уразливість в IBM WebSphere Application Server.

Уразливі версії: WebSphere Application Server (WAS) Integrated Solutions Console 7.0.

Міжсайтовий скриптінг в Integrated Solutions Console.

• IBM WebSphere Application Server (WAS) Integrated Solutions Console Login Page username Parameter Reflected XSS Security Vulnerability (деталі)