Websecurity - Веб безпека

У грудні, 01.12.2016, вийшов PHP 7.1. У версії 7.1.0 виправлено понад сто багів і декілька уразливостей.

Це перший реліз в новій гілці 7.1.x. В якому зробили багато нововведень і покращень.

У PHP 7.1.0 виправлено:

• Use After Free уразливість в unserialize().
• Stackoverflow в imagefilltoborder на truecolor зображеннях.
• NULL Pointer Dereference в WDDX Packet Deserialization з PDORow в модулі Wddx.
• Витоки пам’яті в модулях.
• Інші уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Сьогодні вийшла нова версія програми DAVOSET v.1.2.9. В новій версії:

• Додав підтримку XXE уразливості в AfterLogic WebMail Pro.
• Додав підтримку XXE уразливості в Oracle BI Publisher.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 155 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.9.rar.

У листопаді, 15.11.2016, вийшов Mozilla Firefox 50. Нова версія браузера вийшла через півтора місяці після виходу Firefox 49.

Mozilla офіційно випустила реліз веб-браузера Firefox 50, а також мобільну версію Firefox 50 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 51 намічений на 24 січня, а Firefox 52 на 7 березня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 45.5.

В браузері було зроблено покращення безпеки, зокрема додані напрацювання ініціативи по переносу з Tor Browser деяких можливостей, що дозволяють посилити захист персональної інформації. Також доданий захист від завантаження різних типів виконуваних файлів для Windows, MacOS і Linux, в заголовок Set-Cookie додана підтримка службових префіксів “__Host-” і “__Secure-”, додана підтримка заголовків X-Content-Type-Options: nosniff та Referrer-Policy, в CSP представлена директива sandbox.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 50.0 усунуто 27 уразливостей, серед яких три позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 50 (деталі)

У листопаді, 10.11.2016, вийшли PHP 5.6.28 і PHP 7.0.13. У версії 5.6.28 виправлено багато багів і 15 уразливостей, у версії 7.0.13 виправлено багато багів і 12 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.28 і 7.0.13 виправлено:

• Дванадцять уразливостей в ядрі та модулях.
• Три уразливості в PHP 5.6.28.

По матеріалам http://www.php.net.

У вересні, 23.09.2016, вийшов Mozilla Firefox 49.0.1, де усунутий баг з плагіном Websense (вибивання браузера). У жовтні, 20.10.2016, вийшов Mozilla Firefox 49.0.2. Нова версія браузера вийшли через місяць після виходу Firefox 49.

Це багфікс та секюріті випуск в якому зроблені покращення. У версії 49.0.2 виправлені як баги, так і уразливості. Зроблений асинхронний рендеринг Flash вмісту - це має виправити вибивання браузера при перегляді флеш файлів (що можна віднести до DoS уразливості, але Mozilla типово не відносить це до уразливостей, а до багів). Та виправлені use-after-free уразливість і витік інформації з кешу браузера.

• MFSA 2016-87 Security vulnerabilities fixed in Firefox 49.0.2 (деталі)

У жовтні, 12.10.2016, через півтора місяці після виходу Google Chrome 53, вийшов Google Chrome 54.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 21 уразливість. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity і LibFuzzer. Що менше ніж в попередній версії.

• Выпуск web-браузера Chrome 54 (деталі)

У жовтні, 13 та 14.10.2016, вийшли PHP 5.6.27 і PHP 7.0.12. У версії 5.6.27 виправлено багато багів і 16 уразливостей, у версії 7.0.12 виправлено багато багів і 12 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.27 і 7.0.12 виправлено:

• Дванадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в unserialize() в PHP 5.6.27.
• Три уразливості в PHP 5.6.27.

По матеріалам http://www.php.net.

У вересні, 07.09.2016, вийшла нова версія WordPress 4.6.1.

WordPress 4.6.1 це багфікс та секюріті випуск нової 4.6 серії. В якому розробники виправили 15 багів і 2 уразливості. Це Cross-Site Scripting уразливість в іменах зображень та Path Traversal уразливість в аплоадері пакетів оновлення.

Також в цей день вийшли WordPress 4.0.13, 4.1.13, 4.2.10, 4.3.5, 4.4.5 і 4.5.4. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3, 4.4 і 4.5 серії, в яких виправлені дані уразливості.

У вересні, 15 та 16.09.2016, вийшли PHP 5.6.26 і PHP 7.0.11. У версії 5.6.26 виправлено багато багів і 18 уразливостей, у версії 7.0.11 виправлено багато багів і 17 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.26 і 7.0.11 виправлено:

• П’ятнадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в wddx_deserialize в модулі Wddx.
• Out-Of-Bounds Read уразливість в php_wddx_push_element в модулі Wddx.
• Integer overflow уразливість в xml_utf8_encode в модулі XML в PHP 5.6.26.

По матеріалам http://www.php.net.

У вересні, 20.09.2016, вийшов Mozilla Firefox 49. Нова версія браузера вийшла через півтора місяці після виходу Firefox 48.

Mozilla офіційно випустила реліз веб-браузера Firefox 49, а також мобільну версію Firefox 49 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 50 намічений на 8 листопада, а Firefox 51 на 24 січня.

Також була оновлена гілка із тривалим терміном підтримки Firefox 45.4.

В браузері було зроблено покращення безпеки, зокрема параметри входу, що збережені для сторінки HTTP, тепер використовуються на цих сторінках по HTTPS без необхідності збереження окремих параметрів входу.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 49.0 усунуто 18 уразливостей, серед яких чотири позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 49 (деталі)