Websecurity - Веб безпека

Виявлене пошкодження пам’яті в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.5, AIR 3.5.

Переповнення буфера у флеш плеєрі.

• Security updates available for Adobe Flash Player (деталі)

В даній добірці уразливості в веб додатках:

• HP Operations Orchestration, Remote Execution of Arbitrary Code (деталі)
• Remote code execution and other vulnerabilities in MAKETEXT macro (деталі)
• Open-Realty CMS 3.x | Cross Site Request Forgery (CSRF) Vulnerability (деталі)
• CubeCart 3.0.20 (3.0.x) and lower | Multiple Cross Site Scripting Vulnerabilities (деталі)
• WingFTP Server Denial of Service Vulnerability (деталі)
• CubeCart 3.0.20 (3.0.x) and lower | Arbitrary File Upload (деталі)
• CubeCart 3.0.20 (3.0.x) and lower | Multiple SQL Injection Vulnerabilities (деталі)
• Key Systems Electronic Key Lockers command injection and weak authentication vulnerabilities (деталі)
• CubeCart 4.4.6 and lower | Open URL Redirection Vulnerability (деталі)
• CubeCart 5.0.7 and lower | Open URL Redirection Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Video Lead Form, Dailyedition mouss та Ads Box. Для котрих з’явилися експлоіти. Video Lead Form - це плагін для розміщення форми замовлення у відео, Dailyedition mouss - це тема движка, Ads Box - це плагін для розміщення реклами.

• Video Lead Form Plugin Cross-Site Scripting Vulnerabilities which affects Wordpress URL (деталі)
• WordPress Dailyedition-mouss SQL Injection (деталі)
• WordPress Ads Box SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, експлоіт для останніх уразливостей Ruby on Rails.

В останні кілька днів у фреймворку Ruby on Rails виявлені і закриті критичні уразливості з обробкою параметрів XML, що дозволяють зловмиснику здійснити віддалене виконання коду в будь-якому додатку Ruby on Rails, без аутентифікації. За приблизними оцінками, в Інтернеті зараз працює близько 240000 сайтів на Ruby on Rails.

За повідомленням www.opennet.ru, в прошивці мережевих принтерів Samsung і Dell знайдений бекдор.

Деякі моделі мережевих принтерів Samsung поставляються з прошивкою, у якій присутній жорстко прописаний прихований службовий сервіс, що дозволяє віддалено керувати налаштуваннями принтера і проводити його діагностику. Функція додана з метою спрощення сервісного обслуговування в процесі звертання в службу підтримки, але через те, що інформація тепер доступна публічно, даною можливістю можуть скористатися зловмисники для одержання повного контролю над пристроєм.

Проблемі також піддані принтери, що поставляються під брендом Dell, але зроблені за контрактом з компанією Samsung. Доступ до сервісу організований у вигляді відкритого на запис і читання SNMP-ідентифікатора, не видимого в загальному списку SNMP-перемінних, але він залишається активним навіть при відключенні SNMP у налаштуваннях принтера.

Бекдори знаходили у різних пристроях, популярних додатках та веб додатках, а тепер ось у принтерах .

За повідомленням www.xakep.ru, Nokia розшифровує ваші HTTPS-з’єднання, але не потрібно турбуватися.

Індійський фахівець з ІТ безпеки Гауранг Пандіа є щасливим власником смартфона Nokia Asha 302 під операційною системою Series 40. У грудні минулого року Гауранг виявив, що браузер за замовчуванням у його смартфоні Nokia Browser (Xpress Browser) примусово направляє трафік через сервери компанії Nokia.

Здавалося б, що страшного у використанні проксі-сервера? Однак, Гауранг нещодавно одержав докази, що Nokia не просто перенаправляє і стискає трафік, але і розшифровує HTTPS на своєму проксі-сервері. Дослідник опублікував докази у своєму блозі. Компанія Nokia вже опублікувала відповідь і офіційно підтвердила цю інформацію.

У січні, 10.01.2013, майже через півтора місяці після виходу Google Chrome 23, вийшов Google Chrome 24.

В браузері зроблено декілька нововведень та виправлені помилки. В тому числі оновлений Flash-плагін. А також виправлено 24 уразливості, з яких 11 позначені як небезпечні, 8 - помірні і 5 - незначні. Це значно більше ніж в попередній версії браузера.

З уразливостей, що мають статус небезпечних, дві проблеми виявлені в движку v8, три в системі для перегляду PDF, одна в коді доступу до файлів, одна в системі IPC, одна в коді роботи з DOM, одна в движку SVG і одна в коді позиціювання у відеопотоці.

Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

• Релиз web-браузера Chrome 24 (деталі)

В даній добірці експлоіти в веб додатках:

• Dolphin3D 1.52 / 1.60 Command Execution Vulnerability (деталі)
• HP Data Protector DtbClsLogin Buffer Overflow (деталі)
• Snare Agent Linux Password Disclosure / CSRF Vulnerabilities (деталі)
• Apache/IIS/nginx Multiple HTTP Servers (Memory Exhaustion) DoS (деталі)
• Cisco Wireless Lan Controller 7.2.110.0 Multiple Vulnerabilities (деталі)

30.08.2012

У серпні, 16.08.2012, я виявив Full path disclosure, Directory Traversal та Cross-Site Scripting уразливості в плагіні Floating Tweets для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Rokbox.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

11.01.2013

Full path disclosure (WASC-13):

http://site/wp-content/plugins/floating-tweets/dcwp_floating_tweets.php
http://site/wp-content/plugins/floating-tweets/dcwp_floating_tweets_widget.php
http://site/wp-content/plugins/floating-tweets/skin.php?skin=1

Directory Traversal (Windows) (WASC-33):

http://site/wp-content/plugins/floating-tweets/skin.php?widget_id=2&skin=1\1

DT дозволяє зчитувати лише css-файли (в папці /skins/ та підпапках). При відключених mq можна використати Null Byte Injection, що дозволить через DT зчитувати довільні файли.

XSS (persistent XSS) (WASC-08):

Три persistent XSS дірки. Для атаки потрібно обійти захист від CSRF (параметр savewidgets). Наприклад, використовуючи reflected XSS.

Floating Tweets XSS.html

Floating Tweets XSS-2.html

Floating Tweets XSS-3.html

Приклади атак для даних трьох XSS на IE7 та попереді версії. З використанням MouseOverJacking можна атакувати будь-які браузери (при цьому жертва повинна зробити рух мишкою). Код спрацює одразу при відправці запита і в подальшому при відвідуванні http://site/wp-admin/widgets.php.

Floating Tweets XSS-4.html

Приклад атаки на будь-які браузери. Код виконається на головній і будь-якій зовнішній сторінці сайта.

Уразливі Floating Tweets 1.0.1 та попередні версії.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Hacking tool
• Application service architecture
• Content filtering (Content-control software)
• Internet safety
• Website reputation ratings

У січні, 08.01.2013, вийшов Mozilla Firefox 18. Нова версія браузера вийшла через півтора місяця після виходу Firefox 17.

Mozilla офіційно представила реліз веб-браузера Firefox 18, примітний переходом на новий JIT-компілятор IonMonkey. Відповідно до шеститижневого циклу розробки, реліз Firefox 19 намічений на 19 лютого, а Firefox 20 на 2 квітня.

Також були випущені Thunderbird 18, Seamonkey 2.15 і Firefox 18 для платформи Android.

Одночасно з Firefox 18 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 10.0.2 і Firefox 17.0.2, у яких відзначається тільки виправлення уразливостей і серйозних помилок. Оновлення для ESR-гілки Firefox 10 будуть випускатися до 19 лютого до моменту виходу відновлення Firefox 17.0.3, на яке буде запропоновано мігрувати користувачам гілки Firefox 10 (планується автоматичне виконання міграції).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 18.0 усунуто 21 уразливість, серед яких 12 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (включаючи покращення до одного попереднього патча).

Це найбільша кількість виправлень уразливостей в Firefox та движку Gecko (що використовується й в інших браузерах) в рамках одного випуску. Порівняно з усіма попередніми релізами.

• Релиз Firefox 18 c новым JIT-компилятором IonMonkey (деталі)

В даній добірці експлоіти в веб додатках:

• Maxthon3 about:history XCS Trusted Zone Code Execution (деталі)
• FreeFloat FTP Server Arbitrary File Upload Vulnerability (деталі)
• Nagios XI Network Monitor Graph Explorer Component Command Injection (деталі)
• Firefox/Chrome/Chromium Multiple Web Browsers (Memory Exhaustion) (деталі)
• XML-RPC PingBack API Remote DoS Exploit (through xmlrpc.php) (деталі)

DoS уразливість в XML-RPC стосується як WordPress, так й інших веб додатків, що використовують XML-RPC.