Websecurity - Веб безпека

Виявлений витік інформації в cURL.

Уразливі продукти: cURL 7.34, libcurl 7.34.

При використанні NTLM-аутентифікації запит може бути відправлений через невірне з’єднання.

• curl security update (деталі)

У лютому, 04.02.2013, вийшов Mozilla Firefox 27. Нова версія браузера вийшла через два місяці після виходу Firefox 26.

Mozilla офіційно випустила реліз веб-браузера Firefox 27, а також мобільну версію Firefox 27 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 28 намічений на 18 березня, а Firefox 29 на 29 квітня.

Також був випущений Seamonkey 2.24 та оновлені гілки із тривалим терміном підтримки Firefox 24.3.0 і Thunderbird 24.3.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 27.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Увидел свет Firefox 27 (деталі)

Виявлена можливість виконання коду в Microsoft Forefront Protection for Exchange.

Уразливі версії: Microsoft Forefront Protection 2010 for Exchange Server.

Виконання коду при розборі листа.

• Microsoft Security Bulletin MS14-008 - Critical Vulnerability in Microsoft Forefront Protection for Exchange Could Allow Remote Code Execution (2927022) (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 26.0, Firefox ESR 24.2, Thunderbird 24.2, Seamonkey 2.23.

Численні пошкодження пам’яті, міжсайтовий скриптінг, DoS, витік інформації.

• Mozilla Foundation Security Advisory 2014-01 (деталі)
• Mozilla Foundation Security Advisory 2014-02 (деталі)
• Mozilla Foundation Security Advisory 2014-03 (деталі)
• Mozilla Foundation Security Advisory 2014-04 (деталі)
• Mozilla Foundation Security Advisory 2014-05 (деталі)
• Mozilla Foundation Security Advisory 2014-06 (деталі)
• Mozilla Foundation Security Advisory 2014-07 (деталі)
• Mozilla Foundation Security Advisory 2014-08 (деталі)
• Mozilla Foundation Security Advisory 2014-09 (деталі)
• Mozilla Foundation Security Advisory 2014-10 (деталі)
• Mozilla Foundation Security Advisory 2014-11 (деталі)
• Mozilla Foundation Security Advisory 2014-12 (деталі)
• Mozilla Foundation Security Advisory 2014-13 (деталі)
• Mozilla Foundation Security Advisory 2014-14 (деталі)

Нещодавно, 5 і 6 лютого, вийшли PHP 5.4.25 і PHP 5.5.9 відповідно. У версії 5.5.9 виправлено декілька багів, а у версії 5.4.25 виправлено 5 багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

18.12.2013

Виявлена можливість підміни сертифікатів в cURL.

Уразливі продукти: cURL 7.33, libcurl 7.33.

При виключеному CURLOPT_SSL_VERIFYPEER також не перевіряється ім’я хоста.

• Vulnerability in curl (деталі)

01.02.2014

Додаткова інформація.

• curl vulnerability (деталі)

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі версії: PHP 5.5.

Відмова при обробці інтервалів дат.

• Vulnerabilities in PHP (деталі)

Виявлена можливість проведення DoS атаки проти Microsoft Dynamics AX.

Уразливі версії: Microsoft Dynamics AX 4.0, Dynamics AX 2009, Dynamics AX 2012, Dynamics AX 2012 R2.

Зависання при обробці запиту.

• Microsoft Security Bulletin MS14-004 - Important Vulnerability in Microsoft Dynamics AX Could Allow Denial of Service (2880826) (деталі)

У січні місяці Microsoft випустила 7 патчів. Що менше ніж і у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, SharePoint та Dynamics AX.

Зазначу, що наприкінці грудня 2013 року компанія випустила позачерговий патч для Internet Explorer (бо уразливість в браузері активно використовувалася для атак на користувачів в Інтернеті). Тому немає патча для IE безпосередньо у “вівторку патчів”.

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 0.9, OpenSSL 1.0.

Переповнення буфера, звертання по нульовому вказівнику, DoS.

• Multiple issues in OpenSSL - BN (multiprecision integer arithmetics) (деталі)