Websecurity - Веб безпека

Сьогодні, 26.05.2016, вийшли PHP 5.5.36, PHP 5.6.22 і PHP 7.0.7. У версії 5.5.36 виправлено 5 уразливостей, у версії 5.6.22 виправлено декілька багів і 4 уразливості, у версії 7.0.7 виправлено багато багів і 5 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.36, 5.6.22 і 7.0.7 виправлено:

• Чотири уразливості в ядрі та модулях.
• Uninitialized pointer в phar_make_dirstream() в модулі Phar в PHP 5.5.36.

По матеріалам http://www.php.net.

У травні, 06.05.2016, вийшла нова версія WordPress 4.5.2.

WordPress 4.5.2 це багфікс та секюріті випуск нової 4.5 серії. В якому розробники виправили 2 уразливості. Це Code Execution (SOME) уразливість в бібліотеці Plupload та XSS уразливість в медіа плеєрі MediaElement.js, що використовуються в WP.

Також в цей день вийшли WordPress 4.0.11, 4.1.11, 4.2.8, 4.3.4 і 4.4.3. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3 і 4.4 серії, в яких виправлені дані уразливості.

У квітні, 28-29.04.2016, вийшли PHP 5.5.35, PHP 5.6.21 і PHP 7.0.6. У версії 5.5.35 виправлено 9 уразливостей, у версії 5.6.21 виправлено декілька багів і 11 уразливостей, у версії 7.0.6 виправлено багато багів і 18 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.35, 5.6.21 і 7.0.6 виправлено:

• Integer Overflow в ZipArchive::getFrom в модулі Zip в PHP 7.0.6.
• Дев’ять уразливостей в ядрі та модулях.
• Ще дві уразливості в модулях в PHP 5.6.21.
• Ще вісім уливостей в модулях в PHP 7.0.6.

По матеріалам http://www.php.net.

У квітні, 26.04.2016, вийшла нова версія WordPress 4.5.1.

WordPress 4.5.1 це багфікс випуск нової 4.5 серії. В якому розробники виправили 12 багів. Нова версія вийшла через два тижні після WordPress 4.5.

Також в ній виправлені дві Full path disclosure, що розробники віднесли до багів.

У квітні, 13.04.2016, через півтора місяці після виходу Google Chrome 49, вийшов Google Chrome 50.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 20 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Выпуск web-браузера Chrome 50 (деталі)

У квітні, 26.04.2016, вийшов Mozilla Firefox 46. Нова версія браузера вийшла через півтора місяці після виходу Firefox 45.

Mozilla офіційно випустила реліз веб-браузера Firefox 46, а також мобільну версію Firefox 46 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 47 намічений на 7 червня, а Firefox 48 на 2 серпня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 38.8, Firefox 45.1 і Thunderbird 38.8.

В браузері було зроблено декілька покращень безпеки, зокрема посилена безпека JIT-компілятора JavaScript (виконання коду організоване з використанням застосовуваного в OpenBSD алгоритму W^X) та додана підтримка формування ключів з використанням HKDF в Web Crypto API. А також зроблений перехід GTK3+ в збірках для платформи Linux.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 46.0 усунуто 10 уразливостей, серед яких одна позначена як критична, що може привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 46, перешедший на GTK3+ в Linux (деталі)

У березні, 31.03.2016, вийшли PHP 5.5.34, PHP 5.6.20 і PHP 7.0.5. У версії 5.5.34 виправлено 5 уразливостей, у версії 5.6.20 виправлено декілька багів і 7 уразливостей, у версії 7.0.5 виправлено багато багів і 11 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.34, 5.6.20 і 7.0.5 виправлено:

• Buffer over-write уразливість в модулі Fileinfo.
• Invalid memory write уразливість в модулі Phar.
• Format String уразливість в модулі SNMP.
• Integer Overflow в php_raw_url_encode та уразливість в mbfl_strcut.
• DoS уразливість в модулі PCRE (PHP 7.0.5).
• Дві уразливості в модулях в PHP 5.6.20.
• П’ять уразливостей в ядрі та модулях в PHP 7.0.5.

По матеріалам http://www.php.net.

У квітні, 12.04.2016, вийшла нова версія WordPress 4.5.

WordPress 4.5 це перший випуск та секюріті випуск нової 4.5 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів. А також виправлено 3 уразливості. Це SSRF, XSS та CSRF уразливості.

Серед головних покращень зокрема можна відзначити покращення редагування (лінкування в середині тексту, короткі комбінації для форматування), покращення персоналізації (попередній перегляд тем для мобільних пристроїв та настільних ПК, персональні лого) та інші нововведення.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

У березні, 16.03.2016, вийшов Mozilla Firefox 45.0.1, а в квітні, 11.04.2016, вийшов Mozilla Firefox 45.0.2. Нові версії браузера вийшли через деякий час після виходу Firefox 45.

Це багфікс випуски в яких зроблені покращення, в т.ч. збільшення швидкодія, і виправлені баги. У версії 45.0.1 виправлені баги, а в версії 45.0.2 окрім багів, також виправлене вибивання браузера при перегляді відео, що можна віднести до DoS уразливості (Mozilla типово не відносить це до уразливостей, а до багів).

Сьогодні вийшла нова версія програми DAVOSET v.1.2.8. В новій версії:

• Додав підтримку XXE уразливості в EMC Cloud Tiering Appliance.
• Додав нові сервіси в повний список зомбі.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 160 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.8.rar.