Websecurity - Веб безпека

У серпні, 28.08.2014, вийшов PHP 5.6. Це перший випуск нової 5.6.x гілки.

У вересні, 18.09.2014, вийшли PHP 5.4.33 і PHP 5.5.17. У версії 5.4.33 виправлено 10 багів, а у версії 5.5.17 виправлено декілька багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft Lync Server.

Уразливі версії: Microsoft Lync Server 2010, Lync Server 2013.

DoS, витік інформації.

• Microsoft Security Bulletin MS14-055 - Important Vulnerabilities in Microsoft Lync Server Could Allow Denial of Service (2990928) (деталі)

Виявлені численні уразливості безпеки в Apple Safari і WebKit.

Уразливі версії: Apple Safari 6.1, Safari 7.0.

Небезпечне автозаповнення паролів, численні пошкодження пам’яті, небезпечна робота з кешем.

• APPLE-SA-2014-09-17-4 Safari 6.2 and Safari 7.1 (деталі)

У серпні, 14, 21 і 22.08.2014, вийшли PHP 5.3.29, PHP 5.5.32 і PHP 5.4.16 відповідно. У версії 5.3.29 виправлено 25 уразливостей (зпортовані з PHP 5.4 та 5.5), у версії 5.5.31 виправлено 9 багів і 7 уразливостей, а у версії 5.4.15 виправлено декілька багів і 5 уразливостей.

PHP 5.3.29 - це остання версія гілки 5.3.x. Дані релізи направлені на покращення безпеки і стабільності гілок 5.3.x, 5.4.x і 5.5.x.

У PHP 5.4.32 і PHP 5.5.16 виправлено:

• Уразливості CVE-2014-3538, CVE-2014-3587, CVE-2014-2497, CVE-2014-5120, CVE-2014-3597.
• Уразливості CVE-2014-4670 і CVE-2014-4698 лише в версії 5.4.32.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0.

Виконання коду, DoS.

• Remote Code Execution in Apache Tomcat (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 31, Firefox ESR 24.7, Thunderbird 31, Thunderbird 24.7, Seamonkey 2.26.1.

Пошкодження пам’яті, доступ до локальних файлів.

• Michal Zalewski, Uninit memory disclosure via truncated images in Firefox (деталі)
• Mozilla Foundation Security Advisory 2014-67 (деталі)
• Mozilla Foundation Security Advisory 2014-68 (деталі)
• Mozilla Foundation Security Advisory 2014-69 (деталі)
• Mozilla Foundation Security Advisory 2014-70 (деталі)
• Mozilla Foundation Security Advisory 2014-71 (деталі)
• Mozilla Foundation Security Advisory 2014-72 (деталі)

Виявлена можливість підвищення привілеїв в Microsoft SharePoint Server.

Уразливі версії: Microsoft SharePoint Server 2013.

Виконання коду в контексті іншого користувача.

• Microsoft Security Bulletin MS14-050 - Important Vulnerability in Microsoft SharePoint Server Could Allow Elevation of Privilege (2977202) (деталі)

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.5.

Переповнення буфера в fileinfo і php_parserr(), помилка нульового байта в GD.

• PHP vulnerabilities (деталі)

У вересні, 02.09.2014, вийшов Mozilla Firefox 32. Нова версія браузера вийшла через півтора місяці після виходу Firefox 31.

Mozilla офіційно випустила реліз веб-браузера Firefox 32, а також мобільну версію Firefox 32 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 33 намічений на 14 жовтня, а Firefox 34 на 25 листопада.

Також були випущені Seamonkey 2.29 і Thunderbird 31.1 та оновлені гілки із тривалим терміном підтримки Firefox 24.8.0 і Thunderbird 24.8.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 32.0 усунуто 6 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 32 (деталі)

Виявлені численні уразливості безпеки в Microsoft SQL Server.

Уразливі версії: Microsoft SQL Server 2008, SQL Server 2012, SQL Server 2014.

XSS, вичерпання стека.

• Microsoft Security Bulletin MS14-044 - Important Vulnerabilities in SQL Server Could Allow Elevation of Privilege (2984340) (деталі)