Websecurity - Веб безпека

Виявлена некоректна робота із сертифікатами в Perl модулі LWP::Protocol::https.

Уразливі версії: liblwp-protocol-https-perl 6.04.

При дозволеній розбіжності імені сертифіката сертифікат цілком не перевіряється.

• LWP::Protocol::https vulnerability (деталі)

У липні місяці Microsoft випустила 6 патчів. Що менше ніж у червні.

У липневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 6 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та чотири патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Internet Explorer.

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.5.

Пошкодження пам’яті, DoS, витік інформації.

• PHP vulnerabilities (деталі)

Виявлені уразливості безпеки в Python.

Уразливі версії: Python 2.7, Python 3.4.

Доступ до файлів і виконання коду в CGIHTTPServer, витік інформації в _json, цілочисленне переповнення в lz4.

• Vulnerability in python-lz4 (деталі)
• python: _json module is vulnerable to arbitrary process memory read (деталі)
• Python CGIHTTPServer File Disclosure (деталі)

Виявлена можливість підвищення привілеїв в IBM DB2.

Уразливі версії: IBM DB2 9.5, DB2 9.7, DB2 9.8, DB2 10.1, DB2 10.5.

Небезпечне завантаження динамічних бібліотек.

• SetUID/SetGID Programs Allow Privilege Escalation Via Insecure RPATH In IBM DB2 (деталі)

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, MySQL і PeopleSoft.

Уразливі продукти: Oracle 11g, Oracle 12c, MySQL 5.5 і 5.6, Oracle Java SE 5, 6, 7 і 8, OpenJDK 7, Solaris 11.1, WebLogic Server 12.1, E-Business Suite 12i, JRockit 28.2, WebCenter Portal 11.1 та інші продукти Oracle.

104 уразливості у різних додатках виправлено в щоквартальному оновленні.

• Oracle Critical Patch Update Advisory - April 2014 (деталі)

У червні, 26 і 27.06.2014, вийшли PHP 5.5.30 і PHP 5.4.14 відповідно. У версії 5.5.30 виправлено біля 20 багів і 8 уразливостей, а у версії 5.4.14 виправлено декілька багів і 8 уразливостей. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

У PHP 5.4.30 і PHP 5.5.14 виправлено:

• Уразливості CVE-2014-3981, CVE-2014-0207, CVE-2014-3478, CVE-2014-3479, CVE-2014-3480, CVE-2014-3487, CVE-2014-4049, CVE-2014-3515.

По матеріалам http://www.php.net.

Виявлена можливість виконання коду в Python бібліотеці python-GPG.

Уразливі версії: python-gnupg 2.3.

Можливі шел-ін’єкції.

• python-gnupg security update (деталі)

Виявлені численні уразливості в програмах з пакету Microsoft Office, зокрема в SharePoint Server та Office Web Apps.

Уразливі продукти: Microsoft SharePoint Server 2010, SharePoint Server 2013, Office Web Apps 2010, Office Web Apps 2013.

Пошкодження пам’яті, переповнення буфера, обхід захисту.

• Microsoft Security Bulletin MS14-017 - Critical Vulnerabilities in Microsoft Word and Office Web Apps Could Allow Remote Code Execution (2949660) (деталі)

Виявлені численні уразливості в Oracle.

Уразливі версії: Oracle 11g, Oracle 12c.

Численні підвищення привілеїв через убудовану Java-машину.

• Security vulnerabilities in Oracle Database Java VM (деталі)