Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP B-series SAN Network Advisor, Remote Code Execution (деталі)
• Vulnerabilities in otrs (деталі)
• CodeIgniter <= 2.1.4 Session Decoding Vulnerability (деталі)
• icinga security update (деталі)
• EMC NetWorker Information Disclosure Vulnerability (деталі)

У березні, 31.03.2015, вийшов Mozilla Firefox 37. Нова версія браузера вийшла через півтора місяці після виходу Firefox 36.

Mozilla офіційно випустила реліз веб-браузера Firefox 37, а також мобільну версію Firefox 37 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 38 намічений на 12 травня, а Firefox 39 на 30 червня.

Також були випущені Seamonkey 2.34 та оновлені гілки із тривалим терміном підтримки Firefox 31.6 і Thunderbird 31.6.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 37.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 37 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.garden.gov.ua (хакером Dr.SHA6H) - 04.01.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.gayrayrada.gov.ua (хакером Dr.SHA6H) - 04.01.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://memkuzn.com.ua (хакером ABDELLAH) - 17.01.2015, зараз сайт вже виправлений адмінами
• http://icarservice.com.ua (хакером ZoRRoKiN) - 27.02.2015, зараз сайт вже виправлений адмінами
• http://tvbusinessconference.com (хакерами з Islamic State) - 08.03.2015, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Apple Safari та Webkit.

Уразливі версії: Apple Safari 6.2, Safari 7.1, Safari 8.0.

Численні пошкодження пам’яті, спуфінг.

• APPLE-SA-2015-03-17-1 Safari 8.0.4, Safari 7.1.4, and Safari 6.2.4 (деталі)

В даній добірці експлоіти в веб додатках:

• LG DVR LE6016D - Remote File Disclosure Vulnerability (деталі)
• LG DVR LE6016D - Unauthenticated Remote Users/Passwords Disclosure Exploit (деталі)
• ManageEngine Eventlog Analyzer Managed Hosts Administrator Credential Disclosure (деталі)
• tnftp “savefile” Arbitrary Command Execution Exploit (деталі)
• Internet Explorer 8 MS14-035 Use-After-Free Exploit (деталі)

В жовтні, 11.10.2014, я знайшов Cross-Site Scripting уразливості на сайті Яндекс.Деньги https://money.yandex.ru. Про що найближчим часом сповіщу адміністрацію пошуковця.

Останній раз стосовно проектів Яндекс я писав про Cross-Site Scripting на pass.yandex.ru та уразливості в перекладачі Яндекса.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Раніше я писав про лютневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у березні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Російськими хакерами були атаковані наступні сайти:

vv.gov.ua (російськими хакерами) - 23.03.2015

Іноземними хакерами були проведені неполітичні взломи:

peremyshrada.gov.ua (хакером Abdellah Elmaghribi) - 05.03.2015
dai.kharkov.ua (хакерами з Kosova Hacktivists) - 09.03.2015
izmail-rada.gov.ua (хакером brwsk007) - 11.03.2015

Проукраїнськими хакерами були атаковані наступні сайти:

ukrobaza.ru (Українські Кібер Війська) - 07.03.2015
x-true.info (Українські Кібер Війська) - 31.03.2015
Березневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі березня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт otechestvo.org.ua (через скаргу хостеру) - 03.2015
Закритий сайт rusmir.in.ua (через скаргу хостеру) - 03.2015
Закритий сайт terek.kharkov.ua (через скаргу хостеру) - 03.2015
Закритий сайт dozor-odessa.org (через скаргу хостеру) - 03.2015
Закритий сайт za.zubr.in.ua (через скаргу хостеру) - 03.2015
Закритий сайт lalak.org.ua (через скаргу хостеру) - 03.2015
Закритий сайт radiosn.org (через скаргу хостеру) - 03.2015
Закритий блог на liveinternet.ru (через скаргу хостеру) - 17.03.2015

Виявлений витік інформації в Jetty.

Уразливі версії: Jetty 9.2.

Витік умісту буферів пам’яті.

• JetLeak Vulnerability: Remote Leakage Of Shared Buffers In Jetty Web Server (деталі)

В даній добірці уразливості в веб додатках:

• Apache Libcloud doesn’t send scrub_data query parameter when destroying a DigitalOcean node (деталі)
• DNN (DotNetNuke) eventscalendar Module Arbitrary File Download Vulnerability (деталі)
• DNN (DotNetNuke) dnnUI_NewsArticlesSlider Module Arbitrary File Download Vulnerability (деталі)
• DNN (DotNetNuke) responsivesidebar Module Arbitrary File Download Vulnerability (деталі)
• SPAMINA EMAIL FIREWALL 3.3.1.1 Directory Traversal (деталі)

У січні, 24.01.2014, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в ASUS Wireless Router RT-G32. Це третя частина дірок в RT-G32.

Раніше я писав про уразливості в ASUS RT-G32.

Cross-Site Scripting (WASC-08):

ASUS RT-G32 XSS-2.html

ASUS RT-G32 XSS-3.html

Cross-Site Request Forgery (WASC-09):

Зміна різних налаштувань пристрою:

ASUS RT-G32 CSRF-2.html

Уразливі всі версії ASUS RT-G32. Перевірялося в ASUS RT-G32 з прошивками версій 2.0.2.6 і 2.0.3.2.