Websecurity - Веб безпека

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• IT risk management
• Security risk
• Quality assurance
• Data integrity
• Information security management

13.04.2013

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Уразливості використання пам’яті після звільнення.

• Microsoft Security Bulletin MS13-028 - Critical Cumulative Security Update for Internet Explorer (2817183) (деталі)

09.05.2013

Додаткова інформація.

• Microsoft Internet Explorer 10-9-8-7-6 “Scroll” Use-after-free (MS13-028) (деталі)
• Microsoft Internet Explorer 10-9-8-7-6 “CDisplayPointer” Use-after-free (MS13-028) (деталі)

В даній добірці експлоіти в веб додатках:

• D-Link DIR-635 - Multiple Vulnerabilities (деталі)
• phpMyAdmin Authenticated Remote Code Execution Vulnerability (деталі)
• SAP ConfigServlet Remote Code Execution Vulnerability (деталі)
• Cisco Linksys WRT310N 2.0.00 Denial Of Service Vulnerability (деталі)
• Vivotek IP Camera Buffer Overflow / Injection Vulnerabilities (деталі)

У лютому, 07.02.2013, я виявив Cross-Site Scripting уразливості в численних веб додатках з VideoJS. Про що вже сповістив розробників п’яти наведених програм.

Раніше я писав про уразливості в VideoJS. Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках.

Зокрема в VideoJS - HTML5 Video Player for WordPress, Video.js for Drupal, bo:VideoJS for Joomla, videojs-youtube, Telemeta (CMS). Та в багатьох інших веб додатках. Розробники VideoJS минулого тижня випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

VideoJS - HTML5 Video Player for WordPress:

http://site/wp-content/plugins/videojs-html5-video-player-for-wordpress/videojs/video-js.swf?readyFunction=alert(document.cookie)

Video.js for Drupal:

http://site/sites/all/libraries/video-js/video-js.swf?readyFunction=alert(document.cookie)

bo:VideoJS for Joomla:

http://site/plugins/content/bo_videojs/video-js/video-js.swf?readyFunction=alert(document.cookie)

videojs-youtube:

http://site/lib/video-js.swf?readyFunction=alert(document.cookie)

Telemeta:

http://site/htdocs/video-js/video-js.swf?readyFunction=alert(document.cookie)

Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.

Вразливі наступні веб додатки: VideoJS - HTML5 Video Player for WordPress 3.2.3 і попередні версії, Video.js for Drupal 6.x-2.2 і попередні 6.x-2.x версії та 7.x-2.2 і попередні 7.x-2.x версії, bo:VideoJS for Joomla 2.1.1 і попередні версії (з VideoJS Flash Component), videojs-youtube (всі версії), Telemeta 1.4.4 і попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://utmlviv.gov.ua (хакером LORD H) - 21.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://milicialviv.gov.ua (хакером LORD H) - 21.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sbuda-rada.gov.ua (хакером ulow) - 19.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://dpsua.com.ua (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://vnl.com.ua (хакером s13doeL) - 12.03.2013, зараз сайт вже виправлений адмінами
• http://www.galaxie.com.ua (хакером Hmei7) - 12.03.2013, зараз сайт вже виправлений адмінами
• http://aclemberg.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://aerobud-zahid.com.ua (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://agrosmak.lviv.ua (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://pokraska-mdf.kiev.ua (хакером rEd X) - 17.04.2013, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• Cisco Prime Data Center Network Manager Remote Command Execution Vulnerability (деталі)
• Apache VCL improper input validation (деталі)
• Cisco Secure Access Control System TACACS+ Authentication Bypass Vulnerability (деталі)
• Apache Rave exposes User over API (деталі)
• multiple implementations denial-of-service via MurmurHash algorithm collision (деталі)
• Persistent cross-site scripting in jforum (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)
• Reflected XSS in Asteriskguru Queue Statistics (деталі)
• F5 FirePass SSL VPN Unauthenticated local file inclusion (деталі)
• Directory Traversal Vulnerabilities in OpenCart 1.5.5.1 (деталі)

Виявлена можливість обходу захисту в Oracle Java та IBM Java.

Уразливі продукти: JRE 1.7 (версії від Oracle та IBM).

Вихід з обмеженого середовища через Reflection API.

• Yet another Reflection API flaw affecting Oracle’s Java SE (деталі)
• New security vulnerabilities and broken fixes in IBM Java (деталі)

14.02.2013

У січні, 27.01.2013, а потім додатково 07.02.2013, я виявив Denial of Service та Cross-Site Scripting уразливості в VideoJS Flash Component. Це флеш компонент відео плеєра VideoJS. Про що раніше вже повідомив розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше.

07.05.2013

Окрім XSS дірки в VideoJS, також є DoS дірка, що торкається плеєра, яка стосується Flash Player і яку Adobe виправила ще 12.02.2013. Дана DoS (BSOD) уразливість у флеш плагіні спрацьовувала лише в цьому плеєрі.

Нещодавно, 30.04.2013, розробники виправили XSS уразливість в вихідному коді програми, а 02.05.2013, після мого нагадування, відкомпілювали флешку і завантажили її в обидва своїх репозитарії. На цьому тижні вони планують офіційно випустити VideoJS 4.0.

Cross-Site Scripting (WASC-08):

http://site/video-js.swf?readyFunction=alert(document.cookie)

Але виправлення в VideoJS Flash Component 3.0.2 не захищає проти наступних атак:

http://site/video-js.swf?readyFunction=alert

http://site/video-js.swf?readyFunction=prompt

http://site/video-js.swf?readyFunction=confirm

Вразливі версії перед VideoJS Flash Component 3.0.2 і VideoJS 4.0. Версії VideoJS Flash Component 3.0.2 і VideoJS 4.0 не вразливі до даної XSS дірки, але вразливі до XSS через JS калбеки (подібно до JW Player). А також є вищенаведені обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тим не менш вони обіцяли зайнятися цим в наступних версіях.

У квітні, 11.04.2013, вийшли PHP 5.3.24 та PHP 5.4.14. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було. Лише згадується оновлення бібліотеки PCRE.

По матеріалам http://www.php.net.

Виявлене пошкодження пам’яті в Apple Safari та WebKit.

Уразливі версії: Apple Safari 6.0.

Пошкодження пам’яті через SVG.

• APPLE-SA-2013-04-16-1 Safari 6.0.4 (деталі)