Websecurity - Веб безпека

Нещодавно, 28.02.2009, вийшла нова версія програми SQL Shell v.1.0.1. В новій версії:

• Виправлене встановлення налаштувань сайта в консолі.
• Додана перевірка на початковий слеш в значенні вразливого скрипта.
• Додана перевірка на “http://” в значенні хоста.

SQL Shell є консольним інтерфейсом для проведення SQL Injection атак.

Скачати: SQL_Shell_v.1.0.1.rar.

На додачу до SQL Injection ASCII Encoder презентую вам мій новий інструмент для SQL ін’єкцій.

Нещодавно, 20.02.2009, вийшла перша версія програми SQL Shell v.1.0. SQL Shell є консольним інтерфейсом для проведення SQL Injection атак. І може стати в нагоді всім хто досліджує SQL ін’єкції.

Скачати: SQL_Shell_v.1.0.rar.

В грудні, через деякий час після виходу Opera 9.62, 16.12.2008, вийшла Opera 9.63.

Нова версія Opera є оновленням, що покращує безпеку браузера (а також вносить деякі зміни в інтерфейс). І знову, як і раніше, в цій версії жодна зі знайдених мною дірок в Opera, про які я повідомив розробникам, виправлена не була.

Серед виправлень безпеки в Opera 9.63:

• Виправлена можливість виконання довільного коду через текстові поля
• Виправлена уразливість в HTML парсері, що призводила до виконання довільного коду
• Виправлена Code Execution уразливість через довгі імена хостів в file:
• Виправлена XSS уразливість у feed preview
• Виправлена XSS уразливість у вбудованих XSLT шаблонах
• Виправлена уразливість, що призводила до витоку випадкових даних
• SVG зображення включені через тег img більше не можуть виконати контент Java чи плагіна
• Opera зараз імпортує приватні сертифікати .p12

По матеріалам http://www.opera.com.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.6. В новій версії:

• Додана можливість включення дебаг режиму в онлайн версії.
• Покращена робота оператору присвоєння з масивами (з індексом-змінною).
• Виправлена робота write і writeln при наявності в рядку більше однієї пари дужок.
• Покращена робота функцій copy та concat з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Через три дні після виходу PHP 5.2.7, дана версія PHP була прибрана з сайту та її поширення було припинено. Це відбулося в зв’язку з уразливістю допущеною в PHP 5.2.7. Вона полагала в тому, що налаштування magic_quotes_gpc працювало некоректно - навіть якщо вони були включені, вони залишалися виключеними, (тобто magic quotes не працювали в даній версії PHP).

На наступний день, 08.12.2008, вийшов PHP 5.2.8. В якому була виправлена дана уразливість з непрацюючими magic quotes. Яка виникла в зв’язку з некоректним виправленням розширення filter.

По матеріалам http://www.php.net.

Сьогодні вийшла нова версія програми MustLive/BPG MySQL Perl/CGI Client v1.07.

В новій версії 1.07:

• Виправив Full path disclosure уразливість.
• Додав в файл конфігурації опцію $show_errors для налаштування виведення детальної інформації про помилки в MySQL.
• Оптимізував програмний код.

Додаткова інформація про MySQL Perl/CGI Client в розділі Онлайн інструменти.

Нещодавно, 11.12.2008, вийшла нова версія WordPress 2.7.

WordPress 2.7 це перший випуск нової 2.7 серії. В ній, як і раніше в 2.5, був значно змінений інтерфейс порівняно з попередніми версіями WP. Оновлений інтерфейс - це одна з головних особливостей нової версія движка, він дозволяє значно прискорити роботу з сайтом.

Окрім зміни інтерфейсу, також були виправлені деякі баги з версій 2.6.x. А також додана можливість автоматичного оновлення як плагінів, так і самого движка. Оновлення відбуваються в один клік (в адмінці), без необхідності використовувати ftp доступ до сайту.

Нещодавно вийшла перша релізна версія браузера Google Chrome 1.0. Враховуючи, що перша публічна бета вийшла другого вересня, то Гугл доволі швидко змінив статус Chrome з бети на реліз. Оновлена версія браузера ідентифікує себе як 1.0.154.36. За три з половиною місяці Google випустив версії 0.2, 0.3, 0.4 і ось зараз 1.0.

За словами розробників, ця версія включає безліч дрібних виправлень, крім того, і без того швидкий браузер істотно прискорений - практично в півтора рази, якщо вірити авторам. Реліз не включає самої очікуваної функції - підтримки розширень. Їхня підтримка обіцяна в найближчому майбутньому.

По матеріалам http://bugtraq.ru.

P.S.

Попередні версії браузера Google Chrome виявилися доволі дірявими, про що я повідомляв в себе на сайті, зокрема в своїх проектах День багів в Google Chrome, День багів в браузерах і День багів в браузерах 2. Побачимо як проявить себе в цьому плані релізна версія браузера.

Нещодавно, 04.12.2008, вийшов PHP 5.2.7, у якому виправлено більше 120 помилок, в тому числі й уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Серед секюріті покращень та виправлень в PHP 5.2.7:

• Обновлений PCRE до версії 7.8.
• Виправлена відсутність ініціалізації BG(page_uid) та BG(page_gid).
• Виправлений некоректний порядок php_value для конфігурації Apache.
• Виправлений збій всередині gd з некоректними шрифтами.
• Виправлене можливе переповнення всередині memnstr.
• Виправлені Directory Traversal уразливості (CVE-2008-2665 і CVE-2008-2666).
• Виправлений баг #45151 (збій з URI/file..php).
• Виправлений баг #42862 (збій в IMAP toolkit: переповнення буфера в rfc822.c).

По матеріалам http://www.php.net.

Нещодавно, 25.11.2008, вийшла нова версія WordPress 2.6.5 - оновлення для гілки WP 2.6.x.

WordPress 2.6.5 це секюріті та багфікс випуск для 2.6 серії. В ній виправлена одна проблема безпеки та три баги. Була виправлена XSS уразливість в WordPress, про яку я писав учора.

Зауважу, що була пропущена версія 2.6.4 і після 2.6.3 одразу вийшла 2.6.5. Це пов’язано з підробленою версію 2.6.4, що з’явилася деякий час тому (щоб ніхто не сплутав з нею). Тому офіційно версія 2.6.4 ніколи не виходила.