Websecurity - Веб безпека

У січні, 04.01.2010, вийшла нова версія WordPress 2.9.1.

WordPress 2.9.1 це багфікс випуск 2.9 серії. В якому розробники виправили різноманітні баги.

А вже в лютому, 15.02.2010, вийшла нова версія WordPress 2.9.2.

WordPress 2.9.2 це секюріті випуск 2.9 серії. В якому виправлена Information Leakage уразливість, що дозволяла (через некоректну перевірку прав користувачів) зареєстрованим користувачам читати видалені пости (в Trash), навіть якщо вони і не були авторами даних постів.

Зазначу, що раніше я вже писав про Brute Force та Insufficient Authorization уразливості в WordPress, до яких вразлива також остання версія WP 2.9.2.

У грудні, 19.12.2009, вийшла нова версія WordPress 2.9.

WordPress 2.9 це перший випуск нової 2.9 серії. В ній додано чимало покращень порівняно з попередніми 2.8.x версіями, зокрема додані наступні важливі функції: функція глобальної відміни та кошика, вбудований редактор зображень, пакетне оновлення плагінів та перевірка їх сумісності, легке включення відео.

Серед нових функцій і покращень в движку, є покращення для SEO та збільшення його швидкодії. А також наявні покращення безпеки, що були зроблені в WordPress 2.8.5 та 2.8.6, та автоматичне виправлення БД (database repair). Цим вони виправили Abuse of Functionality уразливість, про яку я писав у травні.

За словами розробників, всього було зроблено більше 500 покращень та виправлень багів.

У жовтні, 20.10.2009, вийшла нова версія WordPress 2.8.5.

WordPress 2.8.5 це секюріті випуск 2.8 серії. В ньому розробники зробили різноманітні секюріті покращення, щоб зробити движок більше безпечним. Зокрема була виправлена Denial of Service уразливість через Trackback та покращений код системи стосовно виконання php-коду в змінних та аплоадера, а також прибрані два старих імпортера даних тегів.

А вже в листопаді, 12.11.2009, вийшла нова версія WordPress 2.8.6.

WordPress 2.8.6 це новий секюріті випуск 2.8 серії. В якому виправлені дві Cross-Site Scripting уразливості.

Сьогодні вийшла нова версія програми MustLive/BPG MySQL Perl/CGI Client v1.08.

В новій версії 1.08:

• Покращив фільтрацію XSS.
• Додав в файл конфігурації опцію $show_sqlform для налаштування виведення форми “SQL запит до Бази Даних”, з метою протидії можливим SQL Injection атакам (зокрема через CSRF).
• Додав перевірку існування запису в БД (по ключовому полю) при його редагуванні.

Додаткова інформація про MySQL Perl/CGI Client в розділі Онлайн інструменти.

Сьогодні вийшла нова версія програми SQL Shell v.1.0.2. В новій версії:

• Додана підтримка відповідей з помилкою 404.
• Оптимізований код програми.
• Покращений опис програми.

SQL Shell є консольним інтерфейсом для проведення SQL Injection атак.

Скачати: SQL_Shell_v.1.0.2.rar.

Після виходу в грудні, 15.12.2009, Firefox 3.0.16, в якому було виправлено 5 уразливостей, в січні, 05.01.2010, вийшов Firefox 3.0.17. В якому не було зроблено жодних секюріті покращень і виправлень (хоча дірок в ньому вистачає, про що я неодноразово повідомляв Mozilla, але вони завжди ігнорували мої повідомлення про DoS і XSS уразливості в їхніх браузерах).

В останній версії Firefox був виправлений лише баг з презентацією оновлень користувачам.

Також в цей же день вийшов Firefox 3.5.7. В якому також не було зроблено жодних секюріті покращень і виправлень. Лише виправленна загальна проблема зі стабільністю (що може включати і DoS уразливість, але Mozilla любить відности це не до уразливостей, а до stability issue) та виправленний баг з презентацією оновлень користувачам.

У грудні, 17.12.2009, вийшов PHP 5.2.12. В якому виправлено більше 60 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.12:

• Виправлений обхід safe_mode в tempnam().
• Виправлений обхід open_basedir в posix_mkfifo().
• Додана “max_file_uploads” INI директива, що може бути задана для обмеження кількості завантажень файлів для кожного запиту до 20 по замовчуванню, для запобігання можливій DOS через вичерпання тимчасових файлів.
• Доданий захист для $_SESSION проти пошкоджень і покращена перевірка “session.save_path”.
• Виправлений баг #49785 (недостатня перевірка вхідного рядка в htmlspecialchars()).

По матеріалам http://www.php.net.

Ще до виходу PHP 5.2.11 у вересні, вийшов PHP 5.3. Вихід нової гілки PHP відбувся 30.06.2009 і даний реліз є значним покращенням 5.x серії.

А вже у листопаді, 19.11.2009, вийшов PHP 5.3.1. В якому виправлено більше 100 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.1:

• Додана “max_file_uploads” INI директива, що може бути задана для обмеження кількості завантажень файлів для кожного запиту до 20 по замовчуванню, для запобігання можливій DOS через вичерпання тимчасових файлів.
• Додані пропущені перевірки навколо обробки exif.
• Виправлений обхід safe_mode в tempnam().
• Виправлений обхід open_basedir в posix_mkfifo().
• Виправлений слабий safe_mode_include_dir.

По матеріалам http://www.php.net.

Нещодавно, 15.12.2009, вийшла Invision Power Board 3.0.5. В даній версії виправлені уразливості, зокрема XSS, LFI та SQL Injection, а також знайдені мною Cross-Site Scripting уразливості в IPB.

• Форум Invision Power Board (IP.Board) 3.0.5 (деталі)

Компанія ІBResource повідомляє про вихід російської версії IP.Board 3.0.5 (IPB). Ця версія включає виправлення уразливостей, а також багатьох помилок і поліпшення швидкості роботи форуму.

Ще в серпні компанія IBResource повідомила про запуск Антиспам сервісу. Як заявляють розробники, це перший в Рунеті Антиспам сервіс для форумів.

Вони не зупинился на минулорічних покращеннях системи захисту від спаму і вирішили запропонувати новий сервіс для більшої протидиї спамерам.

Сервіс Антиспама являє собою комплекс заходів для визначення і блокування користувачів-спамерів. Частина даного комплексу вбудована у форум, а інша реалізована у вигляді окремого зовнішнього сервісу. Він обробляє всі дані про реєстрації на форумах клієнтів і на основі власної бази, робить висновок про можливу спам-реєстрацію. Відповідно, чим більше клієнтів використовує сервіс, тим ефективніше він працює і тим більше захищені самі форуми від спамерів.

• Антиспам сервис (деталі)

Сервіс працює з форумами IPB 2.3.6 та 3.x. Але розробники заявляють, що можуть надати необхідну інформацію по роботі сервіса для власників інших форумних движків.