четверг, июля 24, 2014

Exim 4.83

Вышел релиз почтового сервера Exim 4.83, в котором представлена серия улучшений и исправлений, в том числе устранена уязвимость (CVE-2014-2972). В соответствии с данными, полученными в результате автоматизированного опроса более чем двух миллионов почтовых серверов, Exim используется на 48.85% почтовых серверов, доля Postfix составляет 26.70%, Microsoft Exchange - 7.17%, Sendmail - 10.10%.

Уязвимость CVE-2014-2972 вызвана особенностями обработки аргументов перед их использованием в математических функциях сравнения (<, <=, =, =>, >), что позволяло организовать атаку, в результате которой злоумышленник мог получить доступ к операциям с файлами на сервере с правами пользователя exim. Для проявления уязвимости необходимо возникновение условий выполнения операций поиска с использованием вышеотмеченных математических выражений над специально оформленным контентом, возвращаемым подконтрольным злоумышленнику сервером.   

Firefox 31

Проект Mozilla официально представил релиз web-браузера Firefox 31, а также мобильную версию Firefox 31 для платформы Android. В ближайшие часы ожидается обновление веток с длительным сроком поддержки Firefox 24.7.0, Thunderbird 24.7.0, Seamonkey 2.27 и Thunderbird 31. В скором времени на стадию бета-тестирования перейдёт ветка Firefox 32 и будет отделена aurora-ветка Firefox 33. В соответствии с шестинедельным циклом разработки релиз Firefox 32 намечен на 2 сентября, а Firefox 33 на 14 октября.

Основные новшества:
  • Интегрирована система блокирования загрузки файлов, содержащих вредоносное ПО. Для получения информации об известном вредоносном ПО используется Google Safe Browsing API. Проверка осуществляется по хэшу (SHA-256) и размеру содержимого загружаемого файла, а также хэшу запрашиваемого URL. Для отключения проверки можно воспользоваться опцией "Preferences/Security/Block reported attack sites".
  • На страницу, отображаемую при открытии новой вкладки, добавлено поле для выполнения операций поиска. По умолчанию предлагается Google, но обеспечена возможность быстрого выбора другой поисковой службы через выпадающий список;
  • Поддержка HTTP-заголовка "Prefer: Safe", используемого в системах родительского контроля. Заголовок уведомляет запрашиваемый сайт, что пользователю требуется только безопасный для детей контент. Вывод заголовка включается в настройках по аналогии с заголовком DNT (Don't Track).
  • Задействована новая библиотека mozilla::pkix для проверки корректности цифровых сертификатов. Новая библиотека отличается более высокой надёжностью за счёт проверки всех доступных цепочек проверки сертификатов. Код библиотеки написан на C++ и составляет всего 4167 строк, что заметно упрощает её сопровождение (прошлая библиотека была излишне усложнена и состояла из 81865 строк из-за того, что была транслирована с Java на C). За выявление проблем с безопасностью в новой библиотеке Mozilla обещает выплатить премию в размере 10 тысяч долларов.
  • Удалена инфраструктура CAPS, предназначенная для определения специфичных для сайтов прав доступа через настройки capability.policy.*. Как следствие прекращена поддержка основанного на CAPS метода предоставления доступа web-приложений к буферу обмена. При этом сделано исключение для прав checkloaduri, позволяющих организовать загрузку файлов через URI "file://";
  • По умолчанию включена поддержка формата WebVTT (Web Video Text Tracks), который может использоваться для организации вывода субтитров при просмотре видео через тег track;