Websecurity - Веб безпека

У липні, 01.07.2021, вийшли PHP 7.3.29, PHP 7.4.21 і PHP 8.0.8. У версії 7.3.29 виправлено п’ять уразливостей, у версії 7.4.21 виправлено багато багів і уразливостей, у версії 8.0.8 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.3.x, 7.4.x і 8.0.x.

У PHP 7.3.29, 7.4.21 і 8.0.8 виправлено:

• Обхід SSRF захисту в FILTER_VALIDATE_URL.
• Buffer overflow і пошкодження пам’яті.
• Обхід open_basedir у PHP 7.4.21 і 8.0.8.
• Вибивання.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

В даній добірці експлоіти в веб додатках:

• osCommerce 2.3.4.1 - Remote Code Execution (деталі)
• Aruba Instant (IAP) - Remote Code Execution (деталі)
• Webmin 1.973 - ‘run.cgi’ Cross-Site Request Forgery (CSRF) (деталі)
• KevinLAB BEMS 1.0 - Undocumented Backdoor Account (деталі)
• Denver Smart Wifi Camera SHC-150 - ‘Telnet’ Remote Code Execution (RCE) (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 14.

Виконання коду, пошкодження пам’яті.

• APPLE-SA-2020-12-14-8 Safari 14.0.2 (деталі)

У квітні, 15.04.2021, через півтора місяці після виходу Google Chrome 89, вийшов Google Chrome 90.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 37 уразливостей. З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Це менше ніж в попередній версії.

П’ятнадцять років тому, 18.07.2006, мій проект розпочав свою роботу. Цього липня виповнилося 15 років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені SecurityAlert та інші Секюріті програми.

Також опубліковано багато цікавих статей та досліджень, а також даних про діяльність Українських Кібер Військ.

Багато цікавого ще попереду, тому слідкуйте за новинами.

В своєму звіті про атаки та інфікування державних сайтів України за 18 років я навів статистику атак на державні сайти України за останні 18 років. До звіту атаки на державні сайти України за 19 років додам статистику по інфікованим сайтам за останні 19 років.

За 2001 - 2019 роки всього було атаковано 1219 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). А враховуючи інфіковані gov.ua сайти, виявлених за час моїх досліджень інфікованих сайтів в Уанеті, ця кількість ще більше.

Було інфіковано наступну кількість gov.ua сайтів, що без сумніву були взломані для розміщення шкідливого коду:

2009 рік - 5 сайтів
2010 рік - 13 сайтів
2011 рік - 9 сайтів
2012 рік - 16 сайтів
2013 рік - 11 сайтів
2014 рік - 10 сайтів
2015 рік - 3 сайти
2016 рік - 1 сайт
2017 рік - 3 сайти
2018 рік - 1 сайт
2019 рік - 1 сайт

Всього 73 інфікований gov.ua сайти за 10 років. Разом з атаками за 19 років всього 1292 державних сайтів.

Статистика від 2 атакованих та інфікованих веб сайтів в 2001 році, 2 сайтів в 2002 році, 1 сайту в 2003 році до 101 сайту в 2019 році.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах UserPro, Duplicator Migration, Ultimate Instagram Feed, Secure HTML5 Video Player, Appointments. Для котрих з’явилися експлоіти.

• WordPress UserPro 4.6.17 Authentication Bypass (деталі)
• WordPress Duplicator Migration 1.2.28 Cross Site Scripting (деталі)
• WordPress Ultimate Instagram Feed 1.2 Cross Site Scripting (деталі)
• WordPress Secure HTML5 Video Player 3.14 Cross Site Scripting (деталі)
• WordPress Appointments 2.2.2.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці експлоіти в веб додатках:

• Dlink DSL2750U - ‘Reboot’ Command Injection (деталі)
• Solaris SunSSH 11.0 x86 - libpam Remote Root (3) (деталі)
• Webmin 1.973 - ’save_user.cgi’ Cross-Site Request Forgery (CSRF) (деталі)
• Seagate BlackArmor NAS sg2000-2000.1331 - Command Injection (деталі)
• Aruba Instant 8.7.1.0 - Arbitrary File Modification (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 79, Thunderbird ESR 78.1.

Пошкодження пам’яті, виконання коду, обхід обмежень, timing-attack на генерацію сигнатур ECDSA, side channel attackk на генерацію сигнатур, витік інформації, підробка інтерфейсу.

• MFSA 2020-36 Security Vulnerabilities fixed in Firefox 80 (деталі)