Websecurity - Веб безпека

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, MySQL і PeopleSoft.

Уразливі продукти: Oracle 11g, Oracle 12c, MySQL 5.5 і 5.6, Oracle Java SE 5, 6, 7 і 8, OpenJDK 7, Solaris 11.1, WebLogic Server 12.1, E-Business Suite 12i, JRockit 28.2, WebCenter Portal 11.1 та інші продукти Oracle.

104 уразливості у різних додатках виправлено в щоквартальному оновленні.

• Oracle Critical Patch Update Advisory - April 2014 (деталі)

У червні, 26 і 27.06.2014, вийшли PHP 5.5.30 і PHP 5.4.14 відповідно. У версії 5.5.30 виправлено біля 20 багів і 8 уразливостей, а у версії 5.4.14 виправлено декілька багів і 8 уразливостей. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

У PHP 5.4.30 і PHP 5.5.14 виправлено:

• Уразливості CVE-2014-3981, CVE-2014-0207, CVE-2014-3478, CVE-2014-3479, CVE-2014-3480, CVE-2014-3487, CVE-2014-4049, CVE-2014-3515.

По матеріалам http://www.php.net.

Виявлена можливість виконання коду в Python бібліотеці python-GPG.

Уразливі версії: python-gnupg 2.3.

Можливі шел-ін’єкції.

• python-gnupg security update (деталі)

Виявлені численні уразливості в програмах з пакету Microsoft Office, зокрема в SharePoint Server та Office Web Apps.

Уразливі продукти: Microsoft SharePoint Server 2010, SharePoint Server 2013, Office Web Apps 2010, Office Web Apps 2013.

Пошкодження пам’яті, переповнення буфера, обхід захисту.

• Microsoft Security Bulletin MS14-017 - Critical Vulnerabilities in Microsoft Word and Office Web Apps Could Allow Remote Code Execution (2949660) (деталі)

Виявлені численні уразливості в Oracle.

Уразливі версії: Oracle 11g, Oracle 12c.

Численні підвищення привілеїв через убудовану Java-машину.

• Security vulnerabilities in Oracle Database Java VM (деталі)

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 35.0, Chromium 35.0.

Пошкодження пам’яті, переповнення буфера.

• chromium-browser security update (деталі)

У червні місяці Microsoft випустила 7 патчів. Що менше ніж у травні.

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, Lync та Live Meeting.

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі продукти: file, PHP 5.5.

Вичерпання ресурсів і нескінченний цикл при розборі файлів CDF в Fileinfo компоненті в PHP.

• Vulnerabilities in file and PHP (деталі)

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Атаки на зниження рівня захисту, численні помилки в DTLS, DoS.

• OpenSSL Security Advisory (деталі)

У червні, 10.06.2014, вийшов Mozilla Firefox 30. Нова версія браузера вийшла через півтора місяці після виходу Firefox 29.

Mozilla офіційно випустила реліз веб-браузера Firefox 30, а також мобільну версію Firefox 30 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 31 намічений на 22 липня, а Firefox 32 на 2 вересня.

Також був випущений Seamonkey 2.26.1 та оновлені гілки із тривалим терміном підтримки Firefox 24.6.0 і Thunderbird 24.6.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 30.0 усунуто 7 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 30 (деталі)