Websecurity - Веб безпека

У грудні, 08.12.2015, вийшла нова версія WordPress 4.4.

WordPress 4.4 це перший випуск нової 4.4 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему Twenty Sixteen, чуткі зображення (що адаптуються під будь-які пристрої з різними дисплеями), покращення ембедінгу та інше.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

У січні, 07.01.2016, вийшли PHP 5.5.31, PHP 5.6.17 і PHP 7.0.2. У версії 5.5.31 виправлено 5 уразливостей, у версії 5.6.17 виправлено декілька багів і 5 уразливостей, у версії 7.0.2 виправлено 24 баги і 7 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x, 5.6.x і 7.0.x.

У PHP 5.5.31, 5.6.17 і 7.0.2 виправлено:

• Витік пам’яті та переповнення буфера в модулі FPM.
• Читання пам’яті через gdImageRotateInterpolated.
• Дві уразливості в модулі WDDX.
• Type Confusion уразливість в функції PHP_to_XMLRPC_worker.
• Heap Buffer Overflow уразливість в escapeshell функціях (PHP 7.0.2).
• DoS уразливість в модулі cURL (PHP 7.0.2).

По матеріалам http://www.php.net.

У січні, 06.01.2016, вийшла нова версія WordPress 4.3.2.

WordPress 4.3.2 це секюріті випуск нової 4.3 серії. В якому розробники виправили Cross-Site Scripting уразливість.

Також в цей день вийшли WordPress 4.0.9, 4.1.9 і 4.2.6. Версії 4.0.9, 4.1.9 і 4.2.6 це секюріті випуски 4.0, 4.1 і 4.2 серії, в яких виправлена дана уразливість.

У грудні, 15.12.2015, вийшов Mozilla Firefox 43. Нова версія браузера вийшла через півтора місяці після виходу Firefox 42.

Mozilla офіційно випустила реліз веб-браузера Firefox 43, а також мобільну версію Firefox 43 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 44 намічений на 26 січня, а Firefox 45 на 8 березня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 38.5 і Thunderbird 38.5.

В браузері була покращена приватність в режимі Private Browsing. Тепер можна змінювати список блокування сайтів, що відслідковують переміщення користувачів. Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 43.0 усунуто 16 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 43 (деталі)

У грудні, 03.12.2015, вийшов PHP 7.0.0, а 17.12.2015 вийшов PHP 7.0.1. Версія 7.0 - це нова гілка PHP, у ній та у версії 7.0.1 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілки 7.0.x.

У PHP 7.0.0 виправлено:

• Виправлена Format String уразливість в zend_throw_or_error().
• Шість Use-after-free уразливостей в unserialize().
• Численні DoS в ядрі та різних модулях.
• Чотири уразливості в Curl.
• Три уразливості в Mysqlnd.
• Три уразливості в SQLite3.
• Дев’ять недоліків в модулі OpenSSL.

У PHP 7.0.1 виправлено:

• Виправлена Format String уразливість.
• Use-after-free уразливість в Collator::sortWithSortKeys.
• Три DoS уразливості.
• Дві уразливості в Mysqlnd.

По матеріалам http://www.php.net.

В листопаді, 05.11.2015, компанія Microsoft випустила фінальну версію браузера Edge (що мала версію 25.10586). Вихід нового браузеру відбувся через два роки після виходу Internet Explorer 11. Він постачається з Windows 10 в якості браузера по замовчуванню, але IE11 також присутній в системі.

Це повністю новий браузер компанії, відмінний від Internet Explorer та є заміною IE (на десктопних і мобільних пристроях). На початку він буде постачатися разом з IE для сумісності (як в Windows 10 та Windows Server 2016), але з часом стане основним браузером компанії.

Незважаючи на заяви Microsoft про підвищену безпеку нового браузера, не встиг він вийти, як його швидко взломали. Уразливості в Microsoft Edge (та в IE) були виявлені в серпні у версії, що постачалася з Windows 10, та виправлені в патчі в тому ж місяці.

З тих пір в Edge знаходили багато уразливостей. Що цілком типово для програмних продуктів Microsoft.

У грудні, 02.12.2015, через півтора місяці після виходу Google Chrome 46, вийшов Google Chrome 47.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлена 41 уразливість, в тому числі одна критична (Use-after-free в AppCache). З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Релиз web-браузера Chrome 47 (деталі)

У листопаді, 26.11.2015, вийшов PHP 5.6.16. У версії 5.6.16 виправлено 3 баги і 4 уразливості.

Даний реліз направлений на покращення безпеки і стабільності гілки 5.6.x.

У PHP 5.6.16 виправлено:

• Виправлено 4 DoS уразливості (segfault).

По матеріалам http://www.php.net.

В листопаді, 30.11.2015, вийшла нова версія програми DAVOSET v.1.2.7. В новій версії:

• Додав підтримку XXE уразливості в Geoserver.
• Додав нові сервіси в повний список зомбі.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 160 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.7.rar.

У жовтні, 29.10.2015, вийшов PHP 5.6.15. У версії 5.6.15 виправлено 3 баги і 7 уразливостей.

Даний реліз направлений на покращення безпеки і стабільності гілки 5.6.x.

У PHP 5.6.15 виправлено:

• Виправлено 7 DoS уразливостей (segfault).

По матеріалам http://www.php.net.