Websecurity - Веб безпека

У серпні місяці Microsoft випустила 9 патчів. Що менше ніж у липні.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. П’ять патчів закривають критичні уразливості та чотири патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge.

Також Microsoft випустила патч для уразливості в бібліотеці PDF, що постачається з Windows.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://udf.gov.ua (хакером RxR) - 20.05.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://monrda.gov.ua (хакером RxR) - 22.05.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://avtolek.org.ua (хакером TheWayEnd) - 19.03.2016, зараз сайт вже виправлений адмінами
• http://xootr.com.ua (хакерами з SecurityCrewz) - 23.05.2016, зараз сайт вже виправлений адмінами
• http://samosvety.kiev.ua (хакерами з SecurityCrewz) - 23.05.2016, зараз сайт вже виправлений адмінами

Сьогодні в мене день народження - мені виповнилося 33 роки. З чим вас і себе поздоровляю .

Приготував вам подарунки на сьогоднішню подію і на свята:

Подарунки на День Державного Прапора.

Подарунки на День Незалежності України.

Подарунки на мій день народження.

В даній добірці експлоіти в веб додатках:

• D-Link DWR-932 Firmware 4.00 - Authentication Bypass (деталі)
• MiCollab 7.0 - SQL Injection (деталі)
• Trend Micro Deep Discovery Inspector 3.8/3.7 - Cross-Site Request Forgery (деталі)
• Apache Jetspeed - Arbitrary File Upload (деталі)
• PHP 5.5.33 / 7.0.4 - SNMP Format String Exploit (деталі)

В серпні, 18 та 19.08.2016, вийшли PHP 5.6.25 і PHP 7.0.10. У версії 5.6.25 виправлено декілька багів і 21 уразливість, у версії 7.0.10 виправлено багато багів і 17 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.6.x і 7.0.x.

У PHP 5.6.25 і 7.0.10 виправлено:

• П’ятнадцять уразливостей в ядрі та модулях.
• Use After Free уразливість в unserialize() в PHP 5.6.25.
• Heap corruption через Integer overflow в sql_regcase в модулі Ereg в PHP 5.6.25.
• Heap overflow через Integer overflow в модулі Mcrypt в PHP 7.0.10.
• 4 Integer overflow в модулі Standard в PHP 5.6.25.
• NULL Pointer dereference в zend_virtual_cwd в модулі Zip в PHP 7.0.10.

По матеріалам http://www.php.net.

У липні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у серпні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.08.2016
DDoS на cikdnr.ru - 01-15.08.2016
DDoS на cik-lnr.info - 01-15.08.2016
DDoS на без-вести.рф - 01-15.08.2016
DDoS на ungu.org - 01-15.08.2016
DDoS на bne.su - 01-15.08.2016
DDoS на dnrpress.ru - 01-15.08.2016
DDoS на europeanfront.info - 01-15.08.2016
DDoS на batalyonmoskva.ru - 01-15.08.2016
DDoS на icp.su - 01-15.08.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

У серпні я дав інтерв’ю для EMPR. І 24.08.2016 воно було оприлюднене на сайті видання.

В інтерв’ю розповідається про мою діяльність та кібер війну Росії проти України. Про різні прояви російської агресії в Інтернеті та реальному світі, про громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014, і протидію інформаційній та кібер війні.

Ukraine’s cyber security enthusiast counteracts Russia’s warfare in cyber space

Так що кому буде цікаво прочитати інформацію про кібер війну, про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю, зокрема інтерв’ю для Факти, чи дивився виступи на ТБ, зокрема прямий ефір зі мною на 5 каналі, так і всім іншим, можете прочитати це інтерв’ю.

В даній добірці уразливості в веб додатках:

• SAP SLD Information Tampering (деталі)
• ManageEngine ServiceDesk SQL Injection Vulnerability (деталі)
• ManageEngine ServiceDesk Plus User Enumeration Vulnerability (деталі)
• ManageEngine ServiceDesk Plus User Privileges Management Vulnerability (деталі)
• Multiple critical vulnerabilities in WebTitan (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Church Admin, GigPress, Landing Pages, NewStatPress, Free Counter. Для котрих з’явилися експлоіти.

• WordPress Church Admin 0.800 Cross Site Scripting (деталі)
• WordPress GigPress 2.3.8 SQL Injection (деталі)
• WordPress Landing Pages 1.8.4 Cross Site Scripting / SQL Injection (деталі)
• WordPress NewStatPress 0.9.8 Cross Site Scripting / SQL Injection (деталі)
• WordPress Free Counter 1.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: російська військова техніка в Криму - УКВ записали переміщення військової техніки в Керчі.

Українські Кібер Війська: російська військова техніка в Керчі - УКВ записали переміщення військової техніки в Криму в Керчі.

Українські Кібер Війська: російська військова техніка в Криму - УКВ записали переміщення військової техніки в Керчі.

УУкраїнські Кібер Війська: російська військова техніка в Керчі - УКВ записали переміщення військової техніки в Криму в Керчі.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.