Biuletyn Bezpieczeństwa - 13.maja 2010, PHP, Apache, lighttpd, MySQL, Joomla!, Drupal Opcje

[blooregard]

Biuletyn Bezpieczeństwa forum.php.pl - 13.maja 2010

PHP
Podczas trwającego od początku maja Month of PHP Security udało się do tej pory odkryć 20 luk bezpieczeństwa (8 w aplikacjach napisanych w PHP, 12 w samym interpreterze).
Więcej informacji: http://www.php-security.org/index.html

Apache
Apache mod_proxy_ftp Remote Command Injection Vulnerability - http://www.securityfocus.com/bid/36254/info (aktualizacja informacji o luce)
Apache 'mod_isapi' Memory Corruption Vulnerability - http://www.securityfocus.com/bid/38494 (aktualizacja informacji o luce)
Apache APR and APR-util Multiple Integer Overflow Vulnerabilities - http://www.securityfocus.com/bid/35949 (aktualizacja informacji o luce)
Apache APR-util 'apr_brigade_vprintf' Off By One Vulnerability - http://www.securityfocus.com/bid/35251 (aktualizacja informacji o luce)
Apache 'mod_deflate' Remote Denial Of Service Vulnerability - http://www.securityfocus.com/bid/35623 (aktualizacja informacji o luce)
Apache mod_proxy_ftp Module NULL Pointer Dereference Denial Of Service Vulnerability - http://www.securityfocus.com/bid/36260 (aktualizacja informacji o luce)
Apache APR-util 'apr_strmatch_precompile()' Integer Underflow Vulnerability - http://www.securityfocus.com/bid/35221 (aktualizacja informacji o luce)
Apache mod_proxy_ftp Remote Command Injection Vulnerability - http://www.securityfocus.com/bid/36254 (aktualizacja informacji o luce)
Apache 'mod_proxy_ftp' Wildcard Characters Cross-Site Scripting Vulnerability - http://www.securityfocus.com/bid/30560 (aktualizacja informacji o luce)
Apache 'mod_proxy_ftp' Undefined Charset UTF-7 Cross-Site Scripting Vulnerability - http://www.securityfocus.com/bid/27234 (aktualizacja informacji o luce)

lighttpd
[DoS] lighttpd Slow Request Handling Remote Denial Of Service Vulnerability - http://www.securityfocus.com/bid/38036 (aktualizacja informacji o luce)

MySQL
MySQL Multiple Vulnerabilities - http://secunia.com/advisories/39792/ (wersje podatne: MySQL 5.x, więcej informacji na temat MySQL 5.1.47 usuwającej powyższe błędy: http://dev.mysql.com/doc/refman/5.1/en/news-5-1-47.html )
Oracle MySQL 'COM_FIELD_LIST' Command Packet Security Bypass Vulnerability - http://www.securityfocus.com/bid/40109
Oracle MySQL Malformed Packet Handling Remote Denial of Service Vulnerability - http://www.securityfocus.com/bid/40100

Joomla!
Joomla Camp26 VisitorData Module Shell Command Injection Vulnerability - http://secunia.com/advisories/39707/

Drupal
Drupal Services Module Session ID Authentication Security Bypass Vulnerability - http://www.securityfocus.com/bid/40131
Drupal Bibliography Module HTML Injection Vulnerability - http://www.securityfocus.com/bid/40127
Drupal Wordfilter Module HTML Injection Vulnerability - http://www.securityfocus.com/bid/40119
Drupal Award Module Award Title Field HTML Injection Vulnerability - http://www.securityfocus.com/bid/40118
Drupal AutoAssign Role Module Node Access Security Bypass Vulnerability - http://www.securityfocus.com/bid/40116
Drupal LoginToboggan Module Session Fixation Vulnerability - http://www.securityfocus.com/bid/40115

Opracowano na podstawie:
secunia.com | securityfocus.com | osvdb.org | securityreason.com | heise-online.pl

[bolverk]

Popieram publikowanie na łamach wortal.php.pl biuletynów bezpieczeństwa. Gratuluję dobrego pomysłu.