Архів за Грудень, 2018

Уразливості в плагінах для WordPress №297

23:53 01.12.2018

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Theme Directory, Link Library, Magic Fields 1 і Magic Fields 2, а також в самому WP. Для котрих з’явилися експлоіти.

  • WordPress Theme Directory 2.0.16 Shell Upload (деталі)
  • WordPress Link Library 5.9.12.29 Cross Site Scripting (деталі)
  • WordPress Magic Fields 2 Cross Site Scripting (деталі)
  • WordPress Magic Fields 1 Cross Site Scripting (деталі)
  • WordPress 4.5.3 Core Ajax Handlers Path Traversal (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Вийшли PHP 7.1.23 і 7.2.11

22:45 01.12.2018

У жовтні, 11.10.2018, вийшли PHP 7.1.23 і PHP 7.2.11. У версії 7.1.23 виправлено багато багів і уразливостей, у версії 7.2.11 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.23 і 7.2.11 виправлено:

  • Вибивання.
  • Пошкодження пам’яті.
  • Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Добірка експлоітів

20:09 01.12.2018

В даній добірці експлоіти в веб додатках:

  • Sync Breeze Enterprise 9.5.16 - ‘GET’ Remote Buffer Overflow (SEH) (деталі)
  • Moxa AWK-3131A 1.4 < 1.7 - 'Username' OS Command Injection (деталі)
  • Apache Tomcat 6/7/8/9 - Information Disclosure (деталі)
  • Bluecoat ASG 6.6/CAS 1.3 - OS Command Injection (Metasploit) (деталі)
  • Broadcom Wi-Fi SoC - TDLS Teardown Request Remote Heap Overflow (деталі)

Листопадовий вівторок патчів від Microsoft

17:28 01.12.2018

У листопаді місяці Microsoft випустила нові патчі.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Dynamics 365, Office Web Apps, Team Foundation Server, .NET Core, ASP.NET Core і ChakraCore, Azure App Service on Azure Stack та Exchange Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.