Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• MAAS vulnerabilities (деталі)
• Revive Adserver 3.0.6 and 3.1.0 fix multiple vulnerabilities (деталі)
• Cross-Site Scripting (XSS) in Revive Adserver (деталі)
• Morfy CMS v1.05 - Command Execution Vulnerability (деталі)
• DoS vulnerabilities in Zarafa (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.lokachizem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.ivanychizem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://uchkombinat.ks.ua (хакерами Shi5 AlHacker і JM511) - 10.04.2016, зараз сайт вже виправлений адмінами
• http://fontanprint.com (хакером Hyp3r-D4rk) - 11.08.2015, зараз сайт вже виправлений адмінами
• http://adrianna.com.ua (хакером Hyp3r-D4rk) - 11.08.2015, зараз сайт вже виправлений адмінами

У квітні, 12.04.2016, вийшла нова версія WordPress 4.5.

WordPress 4.5 це перший випуск та секюріті випуск нової 4.5 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів. А також виправлено 3 уразливості. Це SSRF, XSS та CSRF уразливості.

Серед головних покращень зокрема можна відзначити покращення редагування (лінкування в середині тексту, короткі комбінації для форматування), покращення персоналізації (попередній перегляд тем для мобільних пристроїв та настільних ПК, персональні лого) та інші нововведення.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Виявлені уразливості в Microsoft .NET Framework та Microsoft Windows. Перший патч також стосується Microsoft Office, Skype for Business та Lync.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1.

Пошкодження пам’яті та виконання коду.

• Microsoft Security Bulletin MS16-039 - Critical Security Update for Microsoft Graphics Component (3148522) (деталі)
• Microsoft Security Bulletin MS16-041 - Important Security Update for .NET Framework (3148789) (деталі)

В даній добірці експлоіти в веб додатках:

• Tequila File Hosting 1.5 - Multiple Vulnerabilities (деталі)
• PFSense <= 2.2.5 - Directory Traversal (деталі)
• Rips Scanner 0.5 - (code.php) Local File Inclusion (деталі)
• Oracle BeeHive 2 voice-servlet prepareAudioToPlay() Arbitrary File Upload (деталі)
• Oracle BeeHive 2 voice-servlet processEvaluation() Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Work The Flow, Windows Desktop And iPhone Photo Uploader, Duplicator, Fusion Engage, N-Media Website Contact Form. Для котрих з’явилися експлоіти.

• WordPress Work The Flow 2.5.2 Shell Upload (деталі)
• WordPress Windows Desktop And iPhone Photo Uploader File Upload (деталі)
• WordPress Duplicator 0.5.14 Cross Site Request Forgery / SQL Injection (деталі)
• WordPress Fusion Engage Local File Disclosure (деталі)
• WordPress N-Media Website Contact Form 1.3.4 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У березні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у квітні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.04.2016
DDoS на cikdnr.ru - 01-15.04.2016
DDoS на cik-lnr.info - 01-15.04.2016
DDoS на без-вести.рф - 01-15.04.2016
DDoS на ungu.org - 01-15.04.2016
DDoS на bne.su - 01-15.04.2016
DDoS на dnrpress.ru - 01-15.04.2016
DDoS на europeanfront.info - 01-15.04.2016
DDoS на batalyonmoskva.ru - 01-15.04.2016
DDoS на icp.su - 01-15.04.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

У березні, 16.03.2016, вийшов Mozilla Firefox 45.0.1, а в квітні, 11.04.2016, вийшов Mozilla Firefox 45.0.2. Нові версії браузера вийшли через деякий час після виходу Firefox 45.

Це багфікс випуски в яких зроблені покращення, в т.ч. збільшення швидкодія, і виправлені баги. У версії 45.0.1 виправлені баги, а в версії 45.0.2 окрім багів, також виправлене вибивання браузера при перегляді відео, що можна віднести до DoS уразливості (Mozilla типово не відносить це до уразливостей, а до багів).

В даній добірці уразливості в веб додатках:

• Vulnerabilities in Open-Xchange (деталі)
• Elefant CMS v1.3.9 - Persistent Name Update Vulnerability (деталі)
• Fuzzylime v3.03b CMS - Cross Site Scripting Vulnerability (деталі)
• Konakart v7.3.0.1 CMS - Cross Site Scripting Web Vulnerability (деталі)
• HP IceWall Identity Manager and HP IceWall SSO Password Reset Option Running Apache Commons FileUpload, Remote Denial of Service (DoS) (деталі)

У березні, 25.03.2016, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DVG-5402SP VoIP Router. Це четверта частина дірок в DVG-5402SP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DIR-300 та D-Link DVG-5402SP.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.