Websecurity - Веб безпека

Раніше я писав про свою систему Web Virus Detection System, що була розроблена мною в 2008 році. Потім я створив нову систему SecurityAlert, в якої доля склалася схоже до першої системи, тому прочитайте історію Web VDS.

SecurityAlert - це сервіс для інформування про інциденти з безпекою на веб сайтах, що була розроблена мною в 2012 році. Відео демонстрація системи SecurityAlert.

Я розробив ідею системи та створив детальний бізнес план ще в липні 2011. Але рік витратив на спілкування з українськими секюріті компаніями та пошук фінансування. В липні 2012 я почав розробку системи, коли знайшов компанію, що обіцяла фінансувати проект, але вже в серпні вона кинула мене і не надала жодної підтримки. Ситуація подібна до 2008 року з Web Virus Detection System (і жодна з компаній, з якими я спілкувався про обидві свої системи, не викликає в мене поваги). Але на відміну від попередньої системи, я продовжив роботу над цією системою після обману спонсора, і з 2012 року значно покращив систему.

У квітні, 03.04.2015, вийшов Mozilla Firefox 37.0.1. Нова версія браузера вийшла через 3 дні після виходу Firefox 37.

Це секюріті випуск в якому усунуті дві уразливості. А також вимкнена підтримка HTTP/2 AltSvc та виправлене вибивання при запуску браузера з деякими графічними драйверами та програми інших виробників. Мозіла не зарахувала цей crash до уразливостей, а до багів, як вона це дуже часто робить.

Виправлені уразливості з витоком інформації в Reader mode та обходом перевірки сертифікату через HTTP/2 Alt-Svc заголовок.

• Mozilla Foundation Security Advisory 2015-43 Loading privileged content through Reader mode
• Mozilla Foundation Security Advisory 2015-44 Certificate verification bypass through the HTTP/2 Alt-Svc header
• DoS уразливість при роботі з деякими графічними драйверами

У березні, 05.03.2014, вийшов Mozilla Firefox 36.0.1. Нова версія браузера вийшла після виходу Firefox 36.

Це коригувальний випуск в якому виправлені баги, а також два вибивання браузера. Мозіла не зарахувала ці crash до уразливостей, а до багів, як вона це дуже часто робить.

У березні, 16.03.2014, вийшов Mozilla Firefox 36.0.2. Ця версія вийшла лише для мобільних пристроїв (Firefox для Android). В ній виправлені баги - два вибивання браузера. Один crash з Flash відео та інший з пристроями HTC One M8 на Android 5.0.1.

У березні, 20.03.2014, вийшов Mozilla Firefox 36.0.3. В ній виправлена одна критична уразливість Mozilla Foundation Security Advisory 2015-29.

У березні, 21.03.2014, вийшов Mozilla Firefox 36.0.4. В ній виправлена одна критична уразливість Mozilla Foundation Security Advisory 2015-28. Спочатку цей патч вийшов у версії 36.0.3, але він виявився недостатнім, тому випустили нову версію в 36.0.4.

Наприкінці березня вийшов Firefox 37.

У березні, 19-20.03.2015, вийшли PHP 5.4.39, PHP 5.5.23 і PHP 5.6.7. У версії 5.4.39 виправлено 6 уразливостей, у версіях 5.5.23 і 5.6.7 виправлено декілька багів і 4 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.39, 5.5.23 і 5.6.7 виправлено:

• Use after free уразливість в unserialize().
• Налаштування для директорій переважали налаштування конфігурації php.ini.
• NULL byte дозволялися в move_uploaded_file.
• Heap overflow уразливість в regcomp.c.
• Помилка з типізацією SoapClient __call() через unserialize().
• Integer Overflow уразливість в модулі ZIP.

По матеріалам http://www.php.net.

У березні, 31.03.2015, вийшов Mozilla Firefox 37. Нова версія браузера вийшла через півтора місяці після виходу Firefox 36.

Mozilla офіційно випустила реліз веб-браузера Firefox 37, а також мобільну версію Firefox 37 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 38 намічений на 12 травня, а Firefox 39 на 30 червня.

Також були випущені Seamonkey 2.34 та оновлені гілки із тривалим терміном підтримки Firefox 31.6 і Thunderbird 31.6.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 37.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 37 (деталі)

Сьогодні вийшла нова версія програми DAVOSET v.1.2.4. В новій версії:

• Додав у WP метод підтримку розміщення движка сайту в підпапках.
• Додав нові сервіси в повний список зомбі.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 165 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.4.rar.

У лютому, 18-19.02.2015, вийшли PHP 5.4.38, PHP 5.5.22 і PHP 5.6.6. У версії 5.4.38 виправлено 7 уразливостей, у версіях 5.5.22 і 5.6.6 виправлено декілька багів і 4 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.38, 5.5.22 і 5.6.6 виправлено:

• Buffer overflow уразливість в glibc gethostbyname.
• Некоректне визначання підтримки системою crypt sha256/sha512.
• Use after free уразливість в unserialize() з DateTimeZone.
• Heap buffer overflow уразливість в enchant_broker_request_dict().
• SoapServer не підтримує великі повідомлення.
• Прибрана підтримка багаторядкових заголовків. Це захищає від CRLF Injection уразливостей.
• Доданий захист від NULL byte в exec, system і passthru.

По матеріалам http://www.php.net.

У січні, 21.01.2015, через два місяці після виходу Google Chrome 39, вийшов Google Chrome 40.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Також зроблено наступні покращення безпеки: додана можливість блокування профілю в браузері для запобігання доступу сторонніх до облікового запису (коли це потрібно) та додана підтримка нових директив, представлених у другій версії специфікації Content Security Policy (CSP).

Виправлені 62 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.

• Релиз web-браузера Chrome 40 (деталі)

У січні, 22.01.2015, вийшли PHP 5.4.37, PHP 5.5.21 і PHP 5.6.5. У версії 5.4.37 виправлено 6 уразливостей, у версіях 5.5.21 і 5.6.5 виправлено декілька багів і 8 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.37, 5.5.21 і 5.6.5 виправлено:

• Use after free уразливість в unserialize().
• Читання out of bounds призводило до вибивання php-cgi.
• Уразливість при роботі з EXIF.
• Дві уразливості в розширені Fileinfo.
• Обхід перевірки сертифікатів в розширені OpenSSL.
• Explicit double free уразливість (в PHP 5.5.21 і 5.6.5).
• Вибивання при некоректних HTTP запитах (в PHP 5.5.21 і 5.6.5).
• Buffer overflow уразливість розширені GD (в PHP 5.5.21 і 5.6.5).
• Також оновлена бібліотека crypt_blowfish до версії 1.3 (в PHP 5.5.21 і 5.6.5).

По матеріалам http://www.php.net.

У лютому, 18.02.2015, вийшла нова версія WordPress 4.1.1.

WordPress 4.1.1 це багфікс випуск нової 4.1 серії. В якому розробники виправили 21 баг.

Офіційно жодних уразливостей не виправлено, лише баги. Але треба враховувати, що розробники WP полюбляють виправляти дірки приховано. Лише в 2013 році я виявив десятки приховано виправлених уразливостей в WP, про що я писав раніше.