Websecurity - Веб безпека

На початку місяця, 07.08.2008, вийшов PHP 4.4.9, у якому виправлений ряд помилок і уразливостей. Даний реліз направлений на покращення безпеки гілки 4.4.x і є останнім релізом для PHP 4.4.

Серед секюріті покращень та виправлень в PHP 4.4.9:

• Обновлений PCRE до версії 7.7.
• Виправлене переповнення в memnstr().
• Виправлений збій в imageloadfont при використанні некоректних шрифтів.
• Виправлена проблема з обробкою open_basedir в розширенні curl.
• Виправлена проблема, коли mbstring.func_overload встановлений в .htaccess ставав глобальним.

По матеріалам http://www.php.net.

Три дні тому, 15.08.2008, вийшла нова версія WordPress 2.6.1 - оновлення для гілки WP 2.6.x.

WordPress 2.6.1 це багфікс випуск для 2.6 серії. В даній версії були виправлені баги, що були знайдені в WP 2.6. Зокрема покращена підтримка іноземних мов, виправлений баг в gettext, виправлені проблеми з пермалінками на IIS та проблеми зі вставкою зображень в IE, а також збільшена швидкодія адмінки (виправлений баг, що мав місце при великій кількості плагінів).

Всього в версії 2.6.1 виправлено 60 багів.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.3. В новій версії:

• Додана підтримка функції div в операторі if.
• Виправлена робота функції sqrt в write та writeln.
• Покращена робота write та writeln з дійсними числами.
• Покращена робота дебаг-режиму в онлайн інтерпретаторі.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Як повідомив Michal Zalewski в своєму записі Meet ratproxy, our passive web security assessment tool в секюріті блозі Гугла, компанія Google випустила ratproxy - сканер безпеки який використовується співробітниками компанії. Цей додаток являє собою проксі, що працює як пасивний сканер безпеки.

Сканер ratproxy може застосовуватися для перевірки безпеки веб сайтів та веб додатків. Скачати програму можна з Google Code.

Три дні тому, 15.07.2008, вийшла нова версія WordPress 2.6.

Дана версія WordPress 2.6 - це значне оновлення движка (яка продовжила багато тенденцій розпочатих в 2.5). В цій версії WP додана велика кількість нововведень та покращень.

Головні нововведення:

• Post Revisions: Wiki-like tracking of edits.
• Press This!: Post from wherever you are on the web.
• Shift Gears: Turbo-speed your blogging.
• Theme Previews: See it before your audience does.

Нові функції для користувачів та покращення:

1. Word count.
2. Image captions.
3. Bulk management of plugins.
4. A completely revamped image control.
5. Drag-and-drop reordering of Galleries.
6. Plugin update notification bubble.
7. Customizable default avatars.
8. You can now upload media when in full-screen mode.
9. Remote publishing via XML-RPC and APP is now secure (off) by default.
10. Full SSL support in the core, and the ability to force SSL for security.
11. You can now have many thousands of pages or categories with no interface issues.
12. Ability to move your wp-config file and wp-content directories to a custom location, for “clean” SVN checkouts.
13. Select a range of checkboxes with “shift-click”.
14. You can toggle between the Flash uploader and the classic one.
15. A number of proactive security enhancements, including cookies and database interactions.
16. Stronger better faster versions of TinyMCE, jQuery, and jQuery UI.

Також в версії 2.6 виправлено біля 194 багів.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.2. В новій версії:

• Додана константа e (з 16-бітною точністю).
• Оптимізована робота з константами.
• Покращена робота write та writeln з пробілами.
• Покращена робота вбудованих функцій з пробілами.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

На початку місяця, 01.05.2008, вийшов PHP 5.2.6, у якому виправлено більше 120 помилок, в тому числі уразливостей. Даний реліз направлений на покращення стабільності гілки 5.2.x.

Серед секюріті покращень та виправлень в PHP 5.2.6:

• Виправлене можливе переповнення буфера в FastCGI SAPI.
• Виправлене цілочислене переповнення в printf().
• Виправлена уразливість, що описана в CVE-2008-0599.
• Виправлений обхід safe_mode в cURL.
• Краще виправлена уразливість з неповними багатобайтними символами в escapeshellcmd().
• Обновлений PCRE до версії 7.6.

По матеріалам http://www.php.net.

Наприкінці квітня вийшов Invision Power Board v2.3.5, тому всім хто користується движком IPB, раджу звернути увагу на нову версію.

• Форум Invision Power Board (IP.Board) v2.3.5 (деталі)

Опубліковано нову версію форуму Invision Power Board v2.3.5. У цьому випуску покращена продуктивність IP.Board, покращений профіль користувача і виправлено більше 60 різних помилок.

Три дні тому, 25.04.2008, вийшла нова версія WordPress 2.5.1 - оновлення для гілки WP 2.5.x.

WordPress 2.5.1 це багфікс та секюріті випуск для 2.5 серії. В даній версії була виправлена Insufficient Authorization уразливість (Cookie Integrity Protection Vulnerability), про яку я писав. Що дозволяла отримати доступ до акаунта адміністратора. Також була виправлена XSS уразливість.

На доданок до секюріті виправлень в версії 2.5.1 також виправлено 70 багів. Зокрема, були зроблені наступні виправлення:

• Покращення швидкодії для сторінок Dashboard, Write Post та Edit Comments.
• Краща швидкодія для тих, хто має багато категорій.
• Виправлення в Media Uploader.
• Апгрейд до TinyMCE 3.0.7.
• Виправлення в Widget Administration.
• Різноманітні покращення юзабіліті.
• Виправлена розмітка для IE.

Опубліковано невелике оновлення безпеки, адресоване для виправлення можливих уразливостей в Invision Power Board. Дірка може проявитися тільки при включених додаткових BB-кодах на форумі і тільки при визначеному їхньому використанні. При цих обставинах можлива вставка шкідливого html коду. Додатково у виправленні усунуті проблеми безпеки при використанні flash і помилка з автовизначенням переходу на літній/зимовий час.

Зокрема, в даному секюріті патчі для IPB 2.3.x виправлена знайдена мною XSS уразливість в IPB, про яку я вже писав.

• Исправления безопасности в Invision Power Board 2.3.x (деталі)