Websecurity - Веб безпека

У листопаді, 13.11.2014, вийшли PHP 5.4.35, PHP 5.5.19 і PHP 5.6.3. У версії 5.5.35 виправлено 4 уразливості, у версіях 5.4.19 і 5.6.3 виправлено декілька багів і 4 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.35, 5.5.19 і 5.6.3 виправлено:

• Пошкодження zend_mm_heap після переповнення пам’яті в zend_hash_copy.
• Уразливість в розширені fileinfo (що складається з трьох дірок).
• Уразливість в розширені GMP.
• Уразливість в розширені PDO_pgsql.

По матеріалам http://www.php.net.

У грудні, 01.12.2014, вийшов Mozilla Firefox 34. Нова версія браузера вийшла через півтора місяці після виходу Firefox 33.

Mozilla офіційно випустила реліз веб-браузера Firefox 34, а також мобільну версію Firefox 34 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 35 намічений на 13 січня, а Firefox 36 на 24 лютого.

Також були випущені Seamonkey 2.31 та оновлені гілки із тривалим терміном підтримки Firefox 31.3 і Thunderbird 31.3.

Серед покращень безпеки додана інтеграція нового API WebCrypto, відключена підтримка SSLv3, у зв’язку з виявленням уразливості в даному протоколі та тимчасово повернута підтримка пропрієтарних властивостей і функцій window.crypto.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 34.0 усунуто 9 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 34 (деталі)

У листопаді, 20.11.2014, вийшла нова версія WordPress 4.0.1.

WordPress 4.0.1 це багфікс та секюріті випуск нової 4.0 серії. В якому розробники виправили 23 баги та 10 уразливостей. Серед виправлених уразливостей:

• виправлені 3 XSS уразливості, що можуть бути використані користувачами з правами contributor чи author.
• виправлена Cross-Site Request Forgery уразливість, що дозволяє провести атаку на користувача для зміни пароля.
• виправлена Denial of Service уразливість при перевірці паролів.
• доданий додатковий захист проти Server-Side Request Forgery.
• виправлена дуже маловірогідна колізія хешів, що дозволяла скомпрометувати акаунт користувача.
• тепер лінки в листах для зміни паролю стають недійсними, якщо користувач змінив свій емайл.
• виправлені дві уразливості при перевірці EXIF даних при завантаженні зображень, що розробники назвали “security hardening”.

У WordPress 3.9.2 та попередніх версіях виявлена Cross-Site Scripting уразливість в функції коментування. Для гілок 3.7.x, 3.8.x і 3.9.x були випущені версії 3.7.5, 3.8.5 і 3.9.3 з виправленням даної XSS уразливості.

Сьогодні вийшла нова версія програми DAVOSET v.1.2.3. В новій версії:

• Додав нові сервіси в повний список зомбі.
• Зробив список веб сайтів, що вимагають “http” для цільової адреси.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 170 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.3.rar.

В минулому році, 07.11.2013, компанія Microsoft випустила фінальну версію браузера Internet Explorer 11. Вихід нової версії відбувся по суті через рік після виходу IE10.

Незважаючи на заяви Microsoft про підвищену безпеку нового IE11, не встиг він вийти, як його швидко взломали. Уразливості в Internet Explorer 11 (а також в попередніх версіях браузера) були виявлені на початку листопада 2013 року та виправлені в патчі для IE в тому ж місяці.

З тих пір в IE11 знаходили багато уразливостей. Що цілком типово для програмних продуктів Microsoft.

У жовтні, 31.10.2014, вийшла нова версія програми DAVOSET v.1.2.2. В новій версії:

• Додав підтримку https адрес для цільових сайтів.
• Змінив налаштування по замовчуванню.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 170 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.2.rar.

Додав свою програму BWA в репозиторій на https://github.com/MustLive. Тепер в мене на GitHub три програми з числа секюріті додатків, що я розробив за 2005-2014 роки:

• Backdoored Web Application (BWA).
• DDoS attacks via other sites execution tool (DAVOSET).
• Custom Flash Player for VideoJS (video-js-swf) - версія плеєра з виправленою XSS уразливістю, про яку я повідомив розробникам в 2013 році.

Потім додам на GitHub інші програми. Як свої програми на тему безпеки, так і веб додатки в яких я виправив уразливості.

У жовтні, 08.10.2014, через півтора місяці після виходу Google Chrome 37, вийшов Google Chrome 38.

В браузері зроблено багато нововведень. А також виправлено 159 уразливостей. Що є рекордом порівняно з попередніми випусками браузера.

113 уразливостей виявлені в результаті автоматизованого тестування інструментом MemorySanitizer і представляють помірний ступінь небезпеки. Окремого згадування заслуговує критична уразливість (CVE-2014-3188), що стосується помилок в движку V8 і механізмі IPC. Вона дозволяє обійти всі рівні захисту браузера і виконати код у системі, за межами sandbox-оточення.

• Релиз web-браузера Chrome 38 с устранением 159 уязвимостей (деталі)

Зробив на GitHub репозитарій для DAVOSET.

У жовтні, 23.10.2014, вийшла нова версія програми DAVOSET v.1.2.1. В новій версії:

• Додав підтримку атак через WordPress (базуючись на підтримці XML у версії 1.1.2).
• Додав нові сервіси в обидва списки зомбі.
• Прибрав неробочі сервіси зі списків зомбі.

Всього в списку міститься 175 зомбі-сервісів, які готові нанести удар проти диктатури. Додав 3 та прибрав 18 зомбі-сервісів. Значно зменшив кількість уразливих сайтів, тому що в літку адміни почали більше виправляти дірки на своїх сайтах.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.1.rar.

У жовтні, 16.10.2014, вийшли PHP 5.4.34, PHP 5.5.18 і PHP 5.6.2. У версії 5.5.34 виправлено 6 уразливостей, у версії 5.4.18 виправлено декілька багів і 4 уразливості, а у версії 5.6.2 виправлено 4 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.34, 5.5.18 і 5.6.2 виправлено:

• Уразливості CVE-2014-3668, CVE-2014-3669 і CVE-2014-3670.
• Null byte injection уразливість в libcURL.
• Виправлення для OpenSSL, додане в попередніх версіях, що приводило до регресії, повернуто в попередній стан у версіях 5.4.34 і 5.5.18.

По матеріалам http://www.php.net.