Уразливості в плагінах для WordPress №268

23:59 14.10.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Appointment Booking Calendar, Instagram, User Meta Manager, Newsletter Pro. Для котрих з’явилися експлоіти.

  • WordPress Appointment Booking Calendar 1.1.24 SQL Injection (деталі)
  • WordPress Instagram 1.1.0 Cross Site Scripting (деталі)
  • WordPress User Meta Manager 3.4.6 Privilege Escalation (деталі)
  • WordPress User Meta Manager 3.4.6 Blind SQL Injection (деталі)
  • WordPress Newsletter Pro 2.5.3.3 Open Redirect (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Версії браузера Microsoft Edge

22:46 14.10.2017

Два роки тому я писав про офіційний вихід Microsoft Edge. А нещодавно писав про вихід нових версій браузерів конкурентів - Google Chrome 61 та Mozilla Firefox 56.

Розповім вам про хронологію версій цього браузера. Повна історія версій Edge наявна у Вікіпедії.

Найперша версія 0.10.10049 вийшла 30.03.2015 і постачалася Windows 10. Потім були інші проміжні релізи, у тому числі на Windows Server 2016.

Перша публічна версія 20.10240 вийшла 15.07.2015. Друга публічна версія 25.10586 вийшла 05.11.2015. Вже 12 листопада ця версія браузера Edge вийшла на Xbox One, пізніше на мобільній та серверній Windows. Потім були інші проміжні релізи.

Третя публічна версія 38.14393 вийшла 02.08.2016. Четверта публічна версія 40.15063 вийшла 11.04.2017.

Безпека e-commerce сайтів в Уанеті №25

20:04 14.10.2017

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків України:

Також згадував про взломані онлайн магазини в Уанеті:

А також згадував про інфіковані онлайн магазини в Уанеті:

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

Добірка експлоітів

17:23 14.10.2017

В даній добірці експлоіти в веб додатках:

  • Vodafone Mobile Wifi - Reset Admin Password (деталі)
  • Exper EWM-01 ADSL/MODEM - Unauthenticated DNS Change (деталі)
  • Inteno EG101R1 VoIP Router - Unauthenticated DNS Change (деталі)
  • Freefloat FTP Server 1.0 - ‘RENAME’ Command Buffer Overflow (деталі)
  • PCMan FTP Server 2.0.7 - ‘UMASK’ Command Buffer Overflow (деталі)

Нові уразливості в D-Link DGS-3000-10TC

23:59 13.10.2017

У липні, 28.07.2017, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DGS-3000-10TC. Це друга частина дірок в цьому комутаторі.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DAP-1360 та D-Link DGS-3000-10TC.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Українські Кібер Війська: відео розвідка

22:47 13.10.2017

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська записали полковника терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Українські Кібер Війська виявили як терористи знімають пропаганду - УКВ захопили відео терористів де вони знімали пропаганду.

Українські Кібер Війська: секретні відео російського гумконвою на Донбасі - УКВ захопили відео з російським гуманітарним конвоєм. Це 66-й гумконвой в Донецьку.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Українські Кібер Війська: секретні відео російського гумконвою на Донбасі - УКВ захопили відео з російським гуманітарним конвоєм. Це 66-й гумконвой в Донецьку.

Численні уразливості в Microsoft Office Web Apps

20:06 13.10.2017

Виявлені численні уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server. Що були виправлені у вівторку патчів у жовтні.

Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps 2013 SP1, Office Online Server 2016, SharePoint Server 2010 SP2, SharePoint Server 2013 SP1, SharePoint Enterprise Server 2016, Lync 2013 SP1, Skype for Business 2016.

Обхід безпеки, пошкодження пам’яті, виконання коду.

Добірка уразливостей

17:24 13.10.2017

В даній добірці уразливості в веб додатках:

  • neuroML - Multiple Vulnerabilities (деталі)
  • Reflected Cross-Site Scripting (XSS) in SearchBlox (деталі)
  • BlackCat CMS v1.1.1 Arbitrary File Download Vulnerability (деталі)
  • SQL Injection in TYPO3 Extension Akronymmanager (деталі)
  • RCE, domain admin creds leakage and more in BMC Track-It! (деталі)

Вийшов WordPress 4.8.2

23:59 12.10.2017

У вересні, 19.09.2017, вийшла нова версія WordPress 4.8.2.

WordPress 4.8.2 це багфікс та секюріті випуск нової 4.8 серії. В якому розробники виправили 6 багів та 9 уразливостей. Це SQL injection (не в ядрі, але атаку можна провести через плагіни і теми), 5 XSS, 2 Path Traversal та URL Redirector Abuse уразливість.

Також в цій версії зробили звичайні виправлення в движку.

Телепередача зі мною на каналі ICTV

22:48 12.10.2017

У травні, 07.05.2017, я дав інтерв’ю для телеканалу ICTV. Знявся для даного телеканалу.

Сюжет вийшов 11.10.2017 у програмі “Секретный фронт”. В ньому йшлося про кібервійну та про захист в Інтернеті. А також про Українські Кібер Війська, нашу роботу за три роки та проведення мною КіберАТО в Інтернеті. Всі бажаючі можуть його подивитися.