Websecurity - Веб безпека

Виявлена проблема символьних лінків в Perl модулі XML-DT.

Уразливі версії: Perl XML-DT 0.63.

Можна провести symlink атаку через у mkxmltype і mkdtskel.

• Vulnerability in perl-XML-DT (деталі)

Виявлена можливість підміни сигнатур RSA у бібліотеці Mozilla NSS.

Уразливі продукти: Mozilla Firefox 32.0, Firefox ESR 31.1, Thunderbird 31.1, SeaMonkey 2.29, NSS 3.17.

Обхід перевірки сигнатури через неправильну обробку довжини запису в ASN.1.

• Mozilla Foundation Security Advisory 2014-73 (деталі)

У вересні, 19.09.2014, вийшов Mozilla Firefox 32.0.2. Нова версія браузера вийшла через 6 днів після виходу Firefox 32.0.1.

Це коригувальний випуск в якому усунуто проблему, що приводить до краху при спробі виконати оновлення пошкодженої інсталяції Firefox.

У вересні, 25.09.2014, вийшли Mozilla Firefox 32.0.3 та Firefox ESR 24.8.1, 31.1.1, Thunderbird 24.8.1, 31.1.2 і SeaMonkey 2.29.1. А також вийшов Google Chrome 37.0.2062.124.

У нових випусках усунута небезпечна уразливість у бібліотеках, що поставляються в комплекті NSS, що допускає створення підроблених RSA-сертифікатів. Проблема також усунута у оновленнях NSS 3.16.2.1, NSS 3.16.5 і NSS 3.17.1.

Скориставшись даною уразливістю, нападник може сформувати фальсифікований RSA-сертифікат, що може бути застосований для виведення індикатора довіри при організації захищеного з’єднання з підробленим сайтом, закамуфльованим під інший сайт.

Виявлений витік інформації в nginx.

Уразливі версії: nginx 1.4.

Некоректне використання кешованих сесій.

• nginx vulnerability (деталі)

Виявлене переповнення стека в Perl в модулі Data::Dumper.

Уразливі версії: Perl 5.20.

Переповнення стека при рекурсії.

• Perl CORE - Deep Recursion Stack Overflow (деталі)

У вересні, 13.09.2014, вийшов Mozilla Firefox 32.0.1. Нова версія браузера вийшла через 11 днів після виходу Firefox 32.

Це коригувальний випуск в якому проведена робота над помилками, виявленими після публікації Firefox 32. Зокрема усунута серія проблем, що впливають на стабільність роботи і виявляються на комп’ютерах з декількома графічними картами. Також виправлені численні помилки і вирішена одна проблема в версії для платформи Android.

Хоча офіційно жодних дірок не виправлено (Mozilla типово применшила кількість уразливостей), я відношу проблему з вибиванням браузера на ПК з декількома графічними картами до уразливостей. Це DoS уразливість в браузері.

Виявлена Cross-Site Scripting уразливість в IBM WebSphere Application Server.

Уразливі версії: WebSphere Application Server (WAS) Integrated Solutions Console 7.0.

Міжсайтовий скриптінг в Integrated Solutions Console.

• IBM WebSphere Application Server (WAS) Integrated Solutions Console Login Page username Parameter Reflected XSS Security Vulnerability (деталі)

Виявлений витік інформації в cURL і libcurl.

Уразливі продукти: cURL 7.38, libcurl 7.38.

Можлива передача кукісів стороннім сайтам.

• curl security update (деталі)

У серпні, 26.08.2014, через півтора місяці після виходу Google Chrome 36, вийшов Google Chrome 37.

В браузері зроблено багато нововведень. А також виправлено 50 уразливостей.

Сполученню двох уразливостей (CVE-2014-3176, CVE-2014-3177) привласнений статус критичної проблеми, що дозволяє обійти всі рівні захисту браузера і виконати код у системі, за межами sandbox-оточення. 25 уразливостям привласнений високий рівень небезпеки.

• Релиз web-браузера Chrome 37 с устранением 50 уязвимостей (деталі)

У вересні місяці Microsoft випустила 4 патчі. Що менше ніж у серпні.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 4 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Один патч закриває критичну уразливість та три патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Lync Server, Internet Explorer та .NET Framework.