Websecurity - Веб безпека

Як повідомив Michal Zalewski в своєму записі Meet ratproxy, our passive web security assessment tool в секюріті блозі Гугла, компанія Google випустила ratproxy - сканер безпеки який використовується співробітниками компанії. Цей додаток являє собою проксі, що працює як пасивний сканер безпеки.

Сканер ratproxy може застосовуватися для перевірки безпеки веб сайтів та веб додатків. Скачати програму можна з Google Code.

Три дні тому, 15.07.2008, вийшла нова версія WordPress 2.6.

Дана версія WordPress 2.6 - це значне оновлення движка (яка продовжила багато тенденцій розпочатих в 2.5). В цій версії WP додана велика кількість нововведень та покращень.

Головні нововведення:

• Post Revisions: Wiki-like tracking of edits.
• Press This!: Post from wherever you are on the web.
• Shift Gears: Turbo-speed your blogging.
• Theme Previews: See it before your audience does.

Нові функції для користувачів та покращення:

1. Word count.
2. Image captions.
3. Bulk management of plugins.
4. A completely revamped image control.
5. Drag-and-drop reordering of Galleries.
6. Plugin update notification bubble.
7. Customizable default avatars.
8. You can now upload media when in full-screen mode.
9. Remote publishing via XML-RPC and APP is now secure (off) by default.
10. Full SSL support in the core, and the ability to force SSL for security.
11. You can now have many thousands of pages or categories with no interface issues.
12. Ability to move your wp-config file and wp-content directories to a custom location, for “clean” SVN checkouts.
13. Select a range of checkboxes with “shift-click”.
14. You can toggle between the Flash uploader and the classic one.
15. A number of proactive security enhancements, including cookies and database interactions.
16. Stronger better faster versions of TinyMCE, jQuery, and jQuery UI.

Також в версії 2.6 виправлено біля 194 багів.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.2. В новій версії:

• Додана константа e (з 16-бітною точністю).
• Оптимізована робота з константами.
• Покращена робота write та writeln з пробілами.
• Покращена робота вбудованих функцій з пробілами.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

На початку місяця, 01.05.2008, вийшов PHP 5.2.6, у якому виправлено більше 120 помилок, в тому числі уразливостей. Даний реліз направлений на покращення стабільності гілки 5.2.x.

Серед секюріті покращень та виправлень в PHP 5.2.6:

• Виправлене можливе переповнення буфера в FastCGI SAPI.
• Виправлене цілочислене переповнення в printf().
• Виправлена уразливість, що описана в CVE-2008-0599.
• Виправлений обхід safe_mode в cURL.
• Краще виправлена уразливість з неповними багатобайтними символами в escapeshellcmd().
• Обновлений PCRE до версії 7.6.

По матеріалам http://www.php.net.

Наприкінці квітня вийшов Invision Power Board v2.3.5, тому всім хто користується движком IPB, раджу звернути увагу на нову версію.

• Форум Invision Power Board (IP.Board) v2.3.5 (деталі)

Опубліковано нову версію форуму Invision Power Board v2.3.5. У цьому випуску покращена продуктивність IP.Board, покращений профіль користувача і виправлено більше 60 різних помилок.

Три дні тому, 25.04.2008, вийшла нова версія WordPress 2.5.1 - оновлення для гілки WP 2.5.x.

WordPress 2.5.1 це багфікс та секюріті випуск для 2.5 серії. В даній версії була виправлена Insufficient Authorization уразливість (Cookie Integrity Protection Vulnerability), про яку я писав. Що дозволяла отримати доступ до акаунта адміністратора. Також була виправлена XSS уразливість.

На доданок до секюріті виправлень в версії 2.5.1 також виправлено 70 багів. Зокрема, були зроблені наступні виправлення:

• Покращення швидкодії для сторінок Dashboard, Write Post та Edit Comments.
• Краща швидкодія для тих, хто має багато категорій.
• Виправлення в Media Uploader.
• Апгрейд до TinyMCE 3.0.7.
• Виправлення в Widget Administration.
• Різноманітні покращення юзабіліті.
• Виправлена розмітка для IE.

Опубліковано невелике оновлення безпеки, адресоване для виправлення можливих уразливостей в Invision Power Board. Дірка може проявитися тільки при включених додаткових BB-кодах на форумі і тільки при визначеному їхньому використанні. При цих обставинах можлива вставка шкідливого html коду. Додатково у виправленні усунуті проблеми безпеки при використанні flash і помилка з автовизначенням переходу на літній/зимовий час.

Зокрема, в даному секюріті патчі для IPB 2.3.x виправлена знайдена мною XSS уразливість в IPB, про яку я вже писав.

• Исправления безопасности в Invision Power Board 2.3.x (деталі)

Чотири дні тому, 29.03.2008, вийшла нова версія WordPress 2.5.

Дана версія WordPress 2.5 (що вийшла після версії 2.3.3) - це значне оновлення движка. В цій версії WP додана велика кількість нововведень та покращень.

Нові функції для користувачів:

1. Cleaner, faster, less cluttered dashboard.
2. Dashboard Widgets.
3. Multi-file upload with progress bar.
4. Bonus: EXIF extraction.
5. Search posts and pages.
6. Tag management.
7. Password strength meter.
8. Concurrent editing protection.
9. Few-click plugin upgrades.
10. Friendlier visual post editor.
11. Built-in galleries.

Нові функції для розробників:

1. Salted passwords.
2. Secure cookies.
3. Easy taxonomy and URL creation.
4. Inline documentation.
5. Database optimization.
6. $wpdb->prepare().
7. Media buttons.
8. Shortcode API.

Стосовно покращень безпеки слід відмітити Salted passwords, Secure cookies та $wpdb->prepare(). Що повинно покращити рівень безпеки движка. Але зазначу, що розробникам WP є над чим працювати - учора я вже писав про уразливість в WordPress, що також має місце в 2.5 . Тому це перша офіційна дірка в WP 2.5.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.1. В новій версії:

• Додана підтримка функцій в циклах repeat until.
• Додана підтримка вкладених циклів в циклах repeat until. До будь-якого рівня вкладеності.
• Покращена підтримка складних арифметичних виразів.
• Покращена робота функцій pred та succ з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4. В новій версії:

• Додана підтримка циклів repeat until.
• В операторі repeat until підтримуються арифметичні вирази.
• Обмеження ($loop) дійсне для циклів repeat until так само як для міток.
• Покращена робота оператора if зі змінними та масивами.
• Покращена робота функцій delete, insert та copy зі змінними та масивами.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.