Websecurity - Веб безпека

У вересні, 19.09.2017, вийшла нова версія WordPress 4.8.2.

WordPress 4.8.2 це багфікс та секюріті випуск нової 4.8 серії. В якому розробники виправили 6 багів та 9 уразливостей. Це SQL injection (не в ядрі, але атаку можна провести через плагіни і теми), 5 XSS, 2 Path Traversal та URL Redirector Abuse уразливість.

Також в цій версії зробили звичайні виправлення в движку.

У травні, 07.05.2017, я дав інтерв’ю для телеканалу ICTV. Знявся для даного телеканалу.

Сюжет вийшов 11.10.2017 у програмі “Секретный фронт”. В ньому йшлося про кібервійну та про захист в Інтернеті. А також про Українські Кібер Війська, нашу роботу за три роки та проведення мною КіберАТО в Інтернеті. Всі бажаючі можуть його подивитися.

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 55, Firefox ESR 52.3, Thunderbird 52.3.

Пошкодження пам’яті, переповнення буферу, виконання коду, обхід обмежень, витік інформації через обхід SOP, атака Domain hijacking через механізм AppCache, підробка навігації в браузері, витік інформації про CSP, некоректна обробка директив у CSP, обнулення файлів у Linux, XSS через XUL injection, DoS, іфрейми на сторінці about:srcdoc не наслідують CSP.

• MFSA 2017-21 Security vulnerabilities fixed in Firefox 56 (деталі)

В даній добірці експлоіти в веб додатках:

• ZKTeco ZKBioSecurity 3.0 - Hard-Coded Credentials SYSTEM Remote Code Execution (деталі)
• FreePBX 13.0.x < 13.0.154 - Unauthenticated Remote Command Execution (деталі)
• Adobe ColdFusion < 11 Update 10 - XML External Entity Injection (деталі)
• Freefloat FTP Server 1.0 - ‘HOST’ Command Buffer Overflow (деталі)
• Freefloat FTP Server 1.0 - ‘ABOR’ Command Buffer Overflow (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Appointment Booking Calendar, Ultimate CSV Importer, Simple Add Pages Or Posts, Comment Rating. Для котрих з’явилися експлоіти.

• WordPress Appointment Booking Calendar 1.1.23 Shortcode SQL Injection (деталі)
• WordPress Ultimate CSV Importer 3.8.6 Cross Site Scripting (деталі)
• WordPress Appointment Booking Calendar 1.1.24 Escalation / XSS (деталі)
• WordPress Simple Add Pages Or Posts 1.6 Cross Site Request Forgery (деталі)
• WordPress Comment Rating 1.5.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у жовтні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://gur.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами. В січні взломали 20 державних сайтів на сервері Укртелекому, всього на цьому сервері хакнули 51 державний сайт, деякі з них по два рази в різні роки.
• http://mlinzem.gov.ua (хакером Nofawkx Al) - 21.01.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://uns.adm-pl.gov.ua (хакером Nofawkx Al) - 24.01.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ostrograyonzem.gov.ua (хакером Nofawkx Al) - 25.01.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 11.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://accordo.com.ua (хакером Geisterfahrer) - 08.02.2017, зараз сайт вже виправлений адмінами
• http://pysk.com.ua (хакером Owner Dzz) - 18.02.2017, зараз сайт вже виправлений адмінами
• http://olegasvideo.com.ua (хакером Suliman Hacker) - 09.04.2017, зараз сайт вже виправлений адмінами
• http://xolodok.com.ua (хакером Suliman Hacker) - 09.04.2017, зараз сайт вже виправлений адмінами
• http://wedding-ukraine.com.ua (хакером Suliman Hacker) - 09.04.2017, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• HP Operations Manager for UNIX, Remote Code Execution (деталі)
• Multiple Vulnerabilities in ISPConfig (деталі)
• drupal7 security update (деталі)
• OS Command Injection in Vesta Control Panel (деталі)
• HP Records Manager, Remote Cross-Site Scripting (XSS) (деталі)

У вересні, 28.09.2017, вийшов Mozilla Firefox 56. Нова версія браузера вийшла через півтора місяці після виходу Firefox 55.

Mozilla офіційно випустила реліз веб-браузера Firefox 56, а також мобільну версію Firefox 56 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 57 намічений на 14 листопада.

Також була оновлена гілка із тривалим терміном підтримки Firefox 52.4.

В браузері були зроблені покращення безпеки, зокрема додана підтримка автоматичного заповнення полів з адресою в веб формах та в опціях у секції “Privacy & Security” додана кнопка для редагування збережених адрес. API Safe Browsing, що використовується для перевірки URL в чорних списках шкідливих ресурсів, оновлений до версії 4. Також покращений захист механізму верифікації завантажених оновлень.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 56.0 усунуто 18 уразливостей, що менше ніж в попередній версії. Серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 56 (деталі)

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 11.

Пошкодження пам’яті, виконання коду, дві підробки адресного рядку, дві XSS, витік кукісів, декілька витоків інформації в режимі Private browsing.

• APPLE-SA-2017-09-19-2 Safari 11 (деталі)