Websecurity - Веб безпека

У серпні, 16.08.2012, вийшли PHP 5.3.16 та PHP 5.4.6. В яких виправлено більше 20 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://krp-grcz.gov.ua (хакером HighTech) - 11.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://don-reg.gov.ua (хакерами з Turkish Energy Team) - 11.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.manrayrada.gov.ua (хакером Ajaxtm) - 14.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kolomakrda.gov.ua (хакерами з 1923Turk) - 15.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://guonkh.gov.ua (хакерами з 1923Turk) - 15.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tv-net.kiev.ua (хакарами з Kosova Hackers Crew) - 27.04.2012, зараз сайт вже виправлений адмінами
• http://students.socrates.com.ua (хакером HaYaL-ET-06)
• http://www.1models.com.ua (хакером YaCiNe t-h-e h-e-l-l) - 06.06.2012, зараз сайт вже виправлений адмінами
• http://arenda.izida9944.com.ua (хакером MAST3R) - 19.08.2012, зараз сайт вже виправлений адмінами
• http://btr.vn.ua (хакерами ProxyC3 & dR.h4ck3R & dR.M1ST3R) - 19.08.2012, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 13.0, Thunderbird 13.0, SeaMonkey 2.10.

Численні пошкодження пам’яті, виконання коду, підміна даних, міжсайтовий скриптінг, витік інформації.

• Mozilla Firefox nsHTMLSelectElement Remote Code Execution Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2012-41 (деталі)
• Mozilla Foundation Security Advisory 2012-42 (деталі)
• Mozilla Foundation Security Advisory 2012-43 (деталі)
• Mozilla Foundation Security Advisory 2012-44 (деталі)
• Mozilla Foundation Security Advisory 2012-45 (деталі)
• Mozilla Foundation Security Advisory 2012-46 (деталі)
• Mozilla Foundation Security Advisory 2012-47 (деталі)
• Mozilla Foundation Security Advisory 2012-48 (деталі)
• Mozilla Foundation Security Advisory 2012-49 (деталі)
• Mozilla Foundation Security Advisory 2012-50 (деталі)
• Mozilla Foundation Security Advisory 2012-51 (деталі)
• Mozilla Foundation Security Advisory 2012-52 (деталі)
• Mozilla Foundation Security Advisory 2012-53 (деталі)
• Mozilla Foundation Security Advisory 2012-54 (деталі)
• Mozilla Foundation Security Advisory 2012-55 (деталі)
• Mozilla Foundation Security Advisory 2012-56 (деталі)

В даній добірці уразливості в веб додатках:

• FlashPeak SlimBrowser TITLE Denial Of Service Vulnerability (деталі)
• Multiple Cross-Site Scripting (XSS) in Kajona (деталі)
• Jrobalian CMS SQL Injection Vulnerability (деталі)
• CakePHP 2.x-2.2.0-RC2 XXE Injection (деталі)
• WinRadius Server Denial Of Service Vulnerability (деталі)
• MGB OpenSource Guestbook 0.6.9.1 Multiple security vulnerabilities (деталі)
• Event Calendar PHP 1.2 - Multiple Web Vulnerabilites (деталі)
• VamCart v0.9 CMS - Multiple Web Vulnerabilities (деталі)
• Astaro Security Gateway v7.504 - Multiple Web Vulnerabilities (деталі)
• SMF Board v2.0.2 - Multiple Web Vulnerabilities (деталі)

У вересні, 12.08.2012 я виявив Content Spoofing та Cross-Site Scripting уразливості в JW Player Pro - ліцензійній версії JW Player. Які я виявив в одній комерційній CMS, в якій він використовується. Про що вже повідомив розробникам флеш додатку та розробнику CMS, де я виявив ці уразливості.

Раніше я вже писав про Content Spoofing та XSS уразливості в JW Player. В попередньому записі я згадував про дві уразливості, що стосувалися лише ліцензійної версії плеєра, а це дві нові уразливості в ній.

Content Spoofing:

http://site/player.swf?abouttext=Player&aboutlink=http://site

XSS:

http://site/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Вразливі JW Player Pro 5.10.2295 та попередні версії (ліцензійні версії JW Player). Розробник пообіцяв мені виправити дані уразливості найближчим часом - в оновленій версії 5.10 або в 5.11.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nbuv.gov.ua - інфікований державний сайт - інфекція була виявлена 31.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://dfp.gov.ua - інфікований державний сайт - інфекція була виявлена 10.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://join.com.ua - інфекція була виявлена 17.08.2012. Зараз сайт не входить до переліку підозрілих.
• http://viva.ua - інфекція була виявлена 02.08.2012. Зараз сайт не входить до переліку підозрілих.
• http://football24.ua - інфекція була виявлена 29.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://lux.fm - інфекція була виявлена 29.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://mam.ua - інфекція була виявлена 29.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://24tv.ua - інфекція була виявлена 29.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://luxnet.ua - інфекція була виявлена 29.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://zaxid.net - інфекція була виявлена 29.07.2012. Зараз сайт не входить до переліку підозрілих.

Окрім зовнішніх веб антивірусів - систем (розміщених на зовнішніх сайтах), що перевіряють сайти на наявність вірусів (malware) - також існують і внутрішні веб антивіруси. Це антивірусні системи, що вбудовані безпосередньо у веб додатки. Цим вони відрізняються від Web VDS та інших антивірусних систем.

В останні роки вже декілька веб розробників представили такі системи в своїх програмних продуктах. Розглянемо ці системи.

Вбудовані веб антивіруси є в веб додатках IPB та Bitrix. Як я розповідав раніше, в Invision Power Board цей механізм з’явився ще в версії IPB 2.1.7 (в 2006 році). А в Bitrix Site Manager цей механізм з’явився в версії Bitrix 9.0 (в 2010 році).

В форумі IPB механізм антивіруса, який потрібно включити в адмінці для запуску перевірки, являє собою перевірку цілісності файлів. Тобто він лише перевіряє цілісність всіх файлів движка, в цьому він аналогічний таким плагінам для WP, як WordPress Exploit Scanner та Belavir. По суті він не є антивірусом, незважаючи на офіційну назву, бо він не виявляє код шкідливого ПЗ, але тим не менше він може використовуватися для захисту від бекдорів та вірусів на форумі.

Стосовно веб-антивіруса в “1С-Битрикс”, то це перша система керування сайтом (CMS), що має вбудований антивірус (якщо до WordPress є плагіни, то в даній системі він постачається в базовій комплектації). В Bitrix цей захисний механізм працює автономно в автоматичному режимі, на відміну від IPB, де антивірус необхідно було адміну запускати вручну для сканування сайту.

І він краще захищає від атак спрямованих на поширення malware, ніж даний функціонал в IPB. Тому що він безпосередньо перевіряє html-код, що генерується движком, для виявлення коду шкідливого ПЗ. Окрім веб антивірусу, в Bitrix також є перевірка цілісності файлів (аналогічна функціоналу IPB), а також перевірка цілісності скрипта контролю (який проводить перевірку цілісності системи).

Тому захисний функціонал Bitrix Site Manager, який в тому числі включає веб антивірус, більш потужний ніж аналогічний функціонал Invision Power Board. Але обидва розробники постійно покращують свої системи та й інші веб розробники, як це видно по плагінам для WordPress, також випускають свої рішення в цій сфері.

У червні, 27.06.2012, через півтора місяці після виходу Google Chrome 19, вийшов Google Chrome 20.

В браузері зроблене одне нововведення та виправлені помилки. А також виправлено 22 уразливості, з яких 14 позначені як небезпечні, 5 - помірні і 3 - незначні. Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

Також версія Chrome 20 для Linux примітна включенням до складу Flash-плагіна 11.3, що офіційно не поставляється компанією Adobe для Linux і тепер підтримується для даної платформи силами Google.

• Релиз web-браузера Chrome 20 (деталі)

24.03.2012

У березні, 09.03.2012, я знайшов Brute Force, Insufficient Anti-automation та Abuse of Functionality уразливості на сайті http://palatka.net.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на a1market.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

22.08.2012

BF (в формі логіна для користувачів):

http://palatka.net.ua

BF (в формі логіна в адмінку):

http://palatka.net.ua/admin.php

IAA:

http://palatka.net.ua/vojjti.shtml

http://palatka.net.ua/ostavit-otzyv.shtml

На даних сторінках немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

http://palatka.net.ua/vojjti.shtml

Через даний функціонал можна виявляти логіни.

Дані уразливості досі не виправлені.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.vinrada.gov.ua (хакером shmook) - 29.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sevpfu.gov.ua (хакером shmook) - 31.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.gaysin-rda.gov.ua (хакерами з Turkish Energy Team) - 05.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ivinas.gov.ua (хакерами з Turkish Energy Team) - 08.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.udai.gov.ua (хакером TURK KURSUNU) - 02.08.2012 - похаканий державний сайт, зараз сайт не працює (тимчасово закритий)