Websecurity - Веб безпека

У січні, 23.01.2014, вийшла нова версія WordPress 3.8.1.

WordPress 3.8.1 це багфікс випуск нової 3.8 серії. В якому розробники виправили 31 баг.

Офіційно жодних уразливостей не виправлено, лише баги. Але треба враховувати, що розробники WP полюбляють виправляти дірки приховано. Лише в минулому році я виявив десятки приховано виправлених уразливостей в WP, про що я писав раніше.

Сьогодні вийшла нова версія програми DAVOSET v.1.1.6. Це революційний випуск - Revolution Edition. В новій версії:

• Додав нові сервіси в повний список зомбі.
• Додав підтримку завершального слеша в адресі для translate.yandex.net.
• Покращив алгоритм роботи з відкритими файлами.

Всього в списку міститься 141 зомбі-сервіс, які готові нанести удар по сайтам злочинного режиму.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.6.rar.

Нещодавно, 10 січня, вийшли PHP 5.4.24 і PHP 5.5.8. У версії 5.5.8 виправлено біля 20 багів, а у версії 5.4.24 виправлено біля 14 багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

У грудні, 31.12.2013, вийшла нова версія програми DAVOSET v.1.1.5. Це новорічний випуск . В новій версії:

• Додав обробник помилок в GetCookie().
• Додав нові сервіси в списки зомбі.
• Прибрав непрацюючі сервіси зі списків зомбі.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.5.rar.

У грудні, 03.12.2013, вийшла нова версія програми DAVOSET v.1.1.4. В новій версії:

• Додав новий сервіс в повний список зомбі.
• Прибрав непрацюючі сервіси зі списків зомбі.
• Виправив баг з портом в двох функціях.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.4.rar.

Нещодавно, 12 грудня, вийшли PHP 5.3.28, 5.4.23 і 5.5.7. У версії 5.3.28 виправлено дві уразливості, у версії 5.4.23 виправлено біля 10 багів та одна уразливість, а у версії 5.5.7 виправлено декілька багів та одна уразливість. Дані релізи направлені на покращення стабільності та безпеки гілок 5.3.x, 5.4.x і 5.5.x.

У PHP 5.3.28 виправлено:

• Дві уразливості в модулі OpenSSL (CVE-2013-4073 і CVE-2013-6420).

У PHP 5.4.23 і PHP 5.5.7 виправлено:

• Уразливість в модулі OpenSSL (CVE-2013-6420).

По матеріалам http://www.php.net.

В грудні, 12.12.2013, вийшла нова версія WordPress 3.8.

WordPress 3.8 це перший випуск нової 3.8 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити новий дизайн адмінки та нова тема по замовчуванню, адаптація до різних пристроїв, різні кольорові схеми адмінки, перероблене управління шаблонами та віджетами.

Окрім покращень для користувачів також були зроблені численні покращення для розробників.

У грудні, 10.12.2013, вийшов Mozilla Firefox 26. Нова версія браузера вийшла через півтора місяця після виходу Firefox 25.

Mozilla офіційно випустила реліз веб-браузера Firefox 26, а також мобільну версію Firefox 26 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 27 намічений на 7 лютого, а Firefox 28 на 18 березня.

Також був випущений Seamonkey 2.23 та оновлені гілки із тривалим терміном підтримки Firefox 24.2.0 і Thunderbird 24.2.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 26.0 усунуто 14 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Також до покращень безпеки можна віднести блокування Java по замовчуванню та розширення підтримки технології Content Security Policy (CSP). Усі Java-аплети відтепер будуть за замовчуванням відключені, а пов’язаний з ними контент зажадає для своєї активації кліка на спеціальній області (Click to Play). Якщо раніше показ контента блокувався тільки для окремих версій Java-плагінів, занесених у чорний список через наявність уразливостей, то тепер за замовчуванням буде блокуватися будь-який Java контент.

• Релиз Firefox 26 (деталі)

У листопаді, 15.11.2013, вийшов Mozilla Firefox 25.0.1. Нова версія браузера вийшла лише через шістнадцять днів після виходу Firefox 25. І в ній виправлені один баг та декілька уразливостей допущених в останньому релізі.

Mozilla представила коригувальний випуск Firefox 25.0.1 у якому усунуті наступні проблеми:

• 5 уразливостей в бібліотеці Network Security Services (NSS), що використовується в програмах Мозіли.
• помилка, яка приводить до того, що в деяких ситуаціях сторінка не завантажується доти доки не зрушиться курсор.

У листопаді, 12.11.2013, через півтора місяці після виходу Google Chrome 30, вийшов Google Chrome 31.

В браузері зроблено декілька нововведень, в тому числі додана технологія Portable Native Client, та виправлені помилки. А також виправлено 27 уразливостей (включаючи уразливості знайдені під час внутрішнього аудиту). 21 з яких позначені як небезпечні, 5 як помірні та одна отримала статус критичної проблеми, що дозволяє обійти всі рівні захисту браузера і зробити атаку на систему користувача.

Критична і 16 небезпечних уразливостей виявлені співробітниками Google у процесі внутрішнього аудиту кодової бази. У процесі аудита також були виявлені уразливості в зовнішніх компонентах libjpeg, libjpeg-turbo і libjingle, код яких використовується в Chrome.

• Выпуск web-браузера Chrome 31 с реализацией технологии Portable Native Client (деталі)