Websecurity - Веб безпека

Виявлена уразливість, що призводить до витоку інформації в Microsoft Lync Server.

Уразливі продукти: Microsoft Lync Server 2010, Lync Server 2013.

Cross-Site Scripting уразливість в Web Components Server в Lync Server.

• Microsoft Security Bulletin MS14-032 - Important Vulnerability in Microsoft Lync Server Could Allow Information Disclosure (2969258) (деталі)

У липні, 17.07.2014, через два місяці після виходу Google Chrome 35, вийшов Google Chrome 36.

В браузері зроблено декілька нововведень. А також виправлено 26 уразливостей. Декілька патчів виправляють небезпечні та декілька патчів виправляють помірні уразливості.

• Выпуск web-браузера Chrome 36 c реализацией App Launcher для Linux (деталі)

Раніше я писав про червневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в липні.

В зв’язку з сепаратистськими і терористичними акціями на сході України в цьому місяці хакерська активність значно збільшилася. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими та іноземними хакерами були атаковані наступні сайти:

DDoS на sprotyv.info - 01.07.2014 і 21.07.2014
DDoS на www.112.ua - 23.07.2014
DDoS на president.gov.ua - 29.07.2014 - атакований сайт Президента України

Іноземними хакерами були проведені неполітичні взломи державний сайтів:

www.zbarazh-rada.gov.ua - 01.07.2014
ceramology.gov.ua - 10.07.2014
www.voladm.gov.ua - 16.07.2014
nmckherson.gov.ua - 19.07.2014
www.clinic-1.gov.ua - 28.07.2014

Проукраїнськими хакерами були атаковані наступні сайти:

Липневі DDoS атаки на сайти ДНР і ЛНР
DDoS на zakaddafi.ru - 07.07.2014
DDoS на lifenews.ru - 28.07.2014

Сайти ДНР і ЛНР були атаковані неодноразово на протязі липня.

Українські Кібер Війська закрили наступні сайти:

Закриті сайти antymaydan.ucoz.com і politik.ucoz.com (через скаргу хостеру) - 03.07.2014
Закриті сайти alchevskvoenkom.wix.com і biolan2009.wix.com (через скаргу хостеру) - 11.07.2014
Заблоковані кримські сайти: sta-crimea.gov.ua, minek-crimea.gov.ua, sev.gov.ua, crimea.gov.ua, ark.gov.ua. Ці державні сайти були відібрані від сепаратистської кримської влади - 21.07.2014
Закритий сайт tsarov.com.ua (через скаргу хостеру) - 29.07.2014
Закритий сайт forum.for-ua.com (через скаргу хостеру) - 29.07.2014
Закритий сайт gorlovka.co.ua (через скаргу хостеру) - 30.07.2014

Проукраїнськими хакерами були взломані наступні сайти:

k61.dn.ua - 09.07.2014 українські хакери взломали сайт 27 каналу і замість трансляцій ДНР розмістили трансляцію Еспресо.TV. Зараз сайт не працює.

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, PeopleSoft і MySQL.

Уразливі продукти: Oracle 11g, Oracle 12c, MySQL 5.5 і 5.6, Oracle Java SE 5, 6, 7 і 8, OpenJDK 7, Solaris 11.1, WebLogic Server 12.1, E-Business Suite 11i, JRockit 28.3, HTTP Server 11.1 та інші продукти Oracle.

Більше 100 уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Oracle VirtualBox Guest Additions Arbitrary Write Privilege Escalation (деталі)
• Oracle Critical Patch Update Advisory - July 2014 (деталі)

В даній добірці експлоіти в веб додатках:

• Mailspect Control Panel 4.0.5 - Multiple Vulnerabilities (деталі)
• TP-LINK Model No. TL-WR841N / TL-WR841ND - Multiple Vulnerabilities (деталі)
• TP-LINK Model No. TL-WR340G / TL-WR340GD - Multiple Vulnerabilities (деталі)
• Ruby Gem sfpagent 0.4.14 Command Injection Vulnerability (деталі)
• Nagios Remote Plugin Executor 2.15 Remote Command Execution (деталі)

Окрім інформаційної безпеки державних сайтів є ще фізичний вимір безпеки. Він полягає в тому, в якій країні фізично розміщені державні сайти.

За період 2011-2014 років я виявив, що багато державних сайтів хоститься не в Україні. Ще в 2012 році я оприлюднив статтю Хостінги державних сайтів - про своє дослідження gov.ua сайтів, що хостяться за кордоном.

Розміщення державних сайтів на серверах інших країн я вважаю серйозною проблемою. Бо вся важлива, конфіденційна чи секретна інформація легко може бути отримана хостером або спецслужбами тієї країні, де розміщений сервер. Це як здача національних інтересів. Що є несерйозним і це потрібно виправляти.

Тоді я написав про сайти, що хостяться в Германії и США. Але серед державних сайтів є багато таких, що хостяться в Росії.

Зокрема в 2013-2014 роках я виявив наступні gov.ua сайти на російських хостінгах:

• dubno-adm.gov.ua
• milicialviv.gov.ua
• utmlviv.gov.ua
• turka-rda.gov.ua
• turka-culture.gov.ua

Враховуючи війну Росії проти України, розміщення державних сайтів в РФ є не допустимим, це просто державна зрада. Всі ці сайти повинні бути переведені на український хостинг. Це стосується взагалі всіх державних сайтів на закордонних хостінгах.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 30, Firefox ESR 24.6, Thunderbird 24.6, Seamonkey 2.26.1.

Численні пошкодження пам’яті, переповнення буфера.

• Mozilla Foundation Security Advisory 2014-56 (деталі)
• Mozilla Foundation Security Advisory 2014-57 (деталі)
• Mozilla Foundation Security Advisory 2014-58 (деталі)
• Mozilla Foundation Security Advisory 2014-59 (деталі)
• Mozilla Foundation Security Advisory 2014-60 (деталі)
• Mozilla Foundation Security Advisory 2014-61 (деталі)
• Mozilla Foundation Security Advisory 2014-62 (деталі)
• Mozilla Foundation Security Advisory 2014-63 (деталі)
• Mozilla Foundation Security Advisory 2014-64 (деталі)
• Mozilla Foundation Security Advisory 2014-65 (деталі)
• Mozilla Foundation Security Advisory 2014-66 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• DDoS атака на president.gov.ua (КіберБеркут) - 29.07.2014 - атакований державний сайт
• http://www.gaisumy.gov.ua (хакером UAH-Crew) - 14.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://gutszndn.gov.ua (хакером HighTech) - 04.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://turka-culture.gov.ua (хакером LUN4T1C0) - 30.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://turka-rda.gov.ua (хакером LUN4T1C0) - 30.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://promedlab.net (хакером norton) - 20.03.2014, зараз сайт вже виправлений адмінами
• http://ekstramed.com.ua (хакером HighTech) - 20.03.2014, зараз сайт вже виправлений адмінами
• http://vnk1.kiev.ua (хакером d3b~X) - 18.04.2014, зараз сайт вже виправлений адмінами
• http://www.jeansy.com.ua (хакером d3b~X) - 22.05.2014, зараз сайт вже виправлений адмінами
• http://o-doctore.org (хакерами з Tangerang Cyber Army) - 12.06.2014, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• RSA BSAFE SSL-C Security Update for SSL/TLS Plaintext Recovery (aka “Lucky Thirteen”) Vulnerability (деталі)
• Remote code execution in Apache Syncope (деталі)
• SQL Injection in AdRotate (деталі)
• Cross-Site Scripting (XSS) in Ilch CMS (деталі)
• RSA Archer GRC Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Photocrati, Stop User Enumeration та Dandelion. Для котрих з’явилися експлоіти. Photocrati - це тема движка, Stop User Enumeration - це секюріті плагін (для захисту від підбору логінів), Dandelion - це тема движка.

• WordPress Photocrati Cross Site Scripting (деталі)
• WordPress Stop User Enumeration 1.2.4 Bypass (деталі)
• WordPress Dandelion Theme Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.