Websecurity - Веб безпека

У травні, 08.05.2014, вийшла нова версія WordPress 3.9.1.

WordPress 3.9.1 це багфікс випуск нової 3.9 серії. В якому розробники виправили 34 баги.

Офіційно жодних уразливостей не виправлено, лише баги. Але треба враховувати, що розробники WP полюбляють виправляти дірки приховано. Лише в минулому році я виявив десятки приховано виправлених уразливостей в WP, про що я писав раніше.

Раніше я писав про тестування SSL серверів. Онлайн сервіс SSL Server Test підтримує багато перевірок SSL, в тому числі нещодавно була додана підтримка перевірки Heartbleed уразливості.

Розповім про онлайн сервіси, які призначені безпосередньо для тестування SSL серверів на Heartbleed. Що з’явилися після оприлюднення Heartbleed уразливості в OpenSSL.

Для перевірки SSL серверів на наявність Heartbleed уразливості можна використати наступні сервіси:

http://possible.lv/tools/hb/

http://filippo.io/Heartbleed/

Нещодавно, 30 квітня і 1 травня, вийшли PHP 5.5.12 і PHP 5.4.28 відповідно. У версії 5.5.12 виправлено декілька багів і одна уразливість, а у версії 5.4.28 виправлено 18 багів і одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

У PHP 5.4.28 і PHP 5.5.12 виправлено:

• Уразливість CVE-2014-0185.

По матеріалам http://www.php.net.

В квітні, 16.04.2014, вийшла нова версія WordPress 3.9.

WordPress 3.9 це перший випуск нової 3.9 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити покращене візуальне редагування, спрощене редагування зображень, підтримка драг-енд-дропа зображень, попередній перегляд галерей зображень, додані аудіо та відео плейлісти, попередній перегляд віджетів та заголовків, нова тема по замовчуванню і новий браузер шаблонів для зручного управління шаблонами.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

У квітні, 29.04.2014, вийшов Mozilla Firefox 29 з реалізацією нового інтерфейсу користувача, що розвивається під кодовим ім’ям Australis. Нова версія браузера вийшла через півтора місяці після виходу Firefox 28.

Mozilla офіційно випустила реліз веб-браузера Firefox 29, а також мобільну версію Firefox 29 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 30 намічений на 10 червня, а Firefox 31 на 22 липня.

Також був випущений Seamonkey 2.26 та оновлені гілки із тривалим терміном підтримки Firefox 24.5.0 і Thunderbird 24.5.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 29.0 усунуто 14 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 29 с переработанным пользовательским интерфейсом (деталі)

У березні, 25.03.2014, вийшов Mozilla Firefox 28.0.1. Нова версія браузера вийшла лише через сім днів після виходу Firefox 28. І в ній виправлені баги та одна уразливість допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 28.0.1 у якому усунута наступна уразливість:

• Mozilla Foundation Security Advisory 2014-33 - лінки протоколу file: зкачуються до SD карти по замовчуванню.

Сьогодні вийшла нова версія програми DAVOSET v.1.2. Це Nuclear Edition. В цей день бажаю вам виключно мирного атому.

Враховуючи війну Путіна проти України, армія ботів може стати в нагоді. В новій версії:

• Додав підтримку Socks проксі.
• Додав нові сервіси в повний список зомбі.
• Прибрав неробочий сервіс з повного списку зомбі.

Всього в списку міститься 200 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.rar.

У квітні, 08.04.2014, через півтора місяці після виходу Google Chrome 33, вийшов Google Chrome 34.

В браузері зроблено декілька нововведень. А також виправлена 31 уразливість. 21 з яких позначені як небезпечні та 10 як помірні.

14 уразливостей виявлені співробітниками Google у процесі внутрішнього аудиту кодової бази.

• Выпуск web-браузера Chrome 34 (деталі)

У квітні, 08.04.2014, вийшла нова версія WordPress 3.8.2. Разом з нею вийшла версія 3.7.2 з виправлення тих самих уразливостей.

WordPress 3.8.2 це багфікс та секюріті випуск нової 3.8 серії. В якому розробники виправили 9 багів та 5 уразливостей.

Серед виправлених уразливостей дві дірки та три “посилення безпеки”. Це підробка кукісів (authentication cookie forgery) та privilege escalation уразливість, що дозволяла користувачам з правами Contributor публікувати пости.

Серер посилень безпеки наступні: покращення pingbacks (виправлена уразливість, що дозволяла проводити DoS атаки через пінгбеки), виправлена SQL Injection в адмінці та виправлена XSS в бібліотеці Plupload, що постачається з WP.

Нещодавно, 2 і 3 квітня, вийшли PHP 5.5.11 і PHP 5.4.27 відповідно. У версії 5.5.11 виправлено декілька багів і одна уразливість, а у версії 5.4.27 виправлено 5 багів і одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

У PHP 5.4.27 і PHP 5.5.11 виправлено:

• Уразливість CVE-2013-7345.

По матеріалам http://www.php.net.