Websecurity - Веб безпека

У червні, 15.06.2012, вийшов Mozilla Firefox 13.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 13 і в ній виправлі деякі баги останнього релізу.

Mozilla представила коригувальний випуск веб браузера Firefox 13.0.1 в якому усунуто кілька помилок, серед яких рішення проблем при роботі в сервісі Hotmail (наприклад, автоматично не обновлялася папка з вхідними листами) і усунення краху при виході у випадку використання Flash 11.3.

Одночасно вийшов реліз поштового клієнта Thunderbird 13.0.1, що також виправляє деякі баги.

• Релиз Firefox 13.0.1 и Thunderbird 13.0.1 с устранением ошибок (деталі)

Виявлені уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 8.4.

Слабка реазлизация crypt(), DoS.

• postgresql-8.4 security update (деталі)

В даній добірці уразливості в веб додатках:

• Cyberoam UTM v10.01.2 build 059 - File Include Vulnerabilities (деталі)
• PHP Volunteer Management (get_messages.php) SQL Injection Vulnerabilities (деталі)
• OpenConf <= 4.11 (author/edit.php) Blind SQL Injection Vulnerability (деталі)
• Reflected XSS in Joomla 1.5.26 “ja_purity” template (деталі)
• Reflected XSS in Joomla 2.5.4 admin sysinfo page (деталі)
• Cyberoam Unified Threat Management: OS Command Execution (деталі)
• SQL Injection and other issues in Micro Technology Services, Inc. Lynx (деталі)
• Funnel Web (pages.php?page) Remote SQL injection Vulnerability (деталі)
• Indonesia Web Design (link-directory.php?cid) (link-directory.php?pid) Remote SQL injection Vulnerability (деталі)
• DotComEgypt (products.php?cat_id) Remote SQL injection Vulnerability (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів та сайтів соціальної мережі ВКонтакте, яка є дуже популярною в Україні.

• http://hot-girls.kiev.ua - інфекція була виявлена 17.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://music-video.com.ua - інфекція була виявлена 28.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://vk.com - інфекція була виявлена 20.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://vkontakte.ru - інфекція була виявлена 15.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://trendmagazine.com.ua - інфекція була виявлена 11.04.2012. Зараз сайт не входить до переліку підозрілих.

Інфікованість сайтів ВКонтакте - це звичне явище. Про уразливості та віруси в соціальній мережі ВКонтакте писали в Інтернеті ще з початку її роботи.

Виявлена можливість доступу за границі буфера через PDO в PHP.

Уразливі версії: PHP 5.4.

Доступ за границі буфера через прекомпільований запит.

• [php<=5.4.3] Parsing Bug in PHP PDO prepared statements may lead to access violation (деталі)

В даній добірці експлоіти в веб додатках:

• PHP CGI Argument Injection Remote Exploit V0.3 - PHP Version (деталі)
• Exploit for JCE Joomla Extension (Auto Shell Uploader) V0.1 (деталі)
• Ferdows CMS Pro <=1.1.0 and Ferdows CMS <=9.0.5 Multiple Vulnerabilities (SQL Injection, XSS) (деталі)
• Blaze Apps Multiple Vulnerabilities (SQL Injection, XSS) (деталі)
• ezContents CMS <=2.0.3 Multiple Vulnerabilities (SQL Injection, Authentication Bypass) (деталі)

Виявлена можливість обходу захисту в Microsoft IIS.

Уразливі продукти: IIS 6 та 7.5 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Доступ до вмісту скриптових файлів, обхід парольного захисту.

• IIS 6.0/7.5 Vulnerabilities [moderate risk] (деталі)

В червні, 13.06.2012, вийшла нова версія WordPress 3.4.

WordPress 3.4 це перший випуск нової 3.4 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити покращення в налаштуванні тем (розширені можливості налаштування, попередній перегляд і зручний браузер тем) та індивідуальних заголовків, для яких можна використовувати зображення з бібліотеки (media library). А також покращення стосовно включення постів з Twitter та заголовків зображень.

Окрім покращень для користувачів також були зроблені численні покращення для розробників. Зокрема API для XML-RPC, тем та індивідуальних заголовків, а також збільшена швидкодія WP_Query та системи перекладу.

А також була покращена безпека движка, хоча розробники про це ніде не згадали (достатньо часто вони втихаря виправляють дірки). Зокрема були виправлені уразливості в плагіні Akismet, що є core-плагіном, і саме з WP 3.4 постачаться оновлена версія плагіна з виправленими Cross-Site Scripting і Redirector уразливостями.

В даній добірці уразливості в веб додатках:

• at32 ReverseProxy - Multiple HTTP Header Field Denial Of Service Vulnerability (деталі)
• PHP Volunteer Management ‘id’ 1.0.2 Multiple Vulnerabilities (деталі)
• Websense Triton 7.6 stored XSS in report management UI (деталі)
• Websense Triton 7.6 - unauthenticated remote command execution as SYSTEM (деталі)
• Websense Triton 7.6 - authentication bypass in report management UI (деталі)
• Security Notice for CA ARCserve Backup (деталі)
• Websense Triton 7.6 - reflected XSS in report management UI (деталі)
• Pritlog v0.821 CMS - Multiple Web Vulnerabilities (деталі)
• C4B XPhone UC Web 4.1.890S R1 - Cross Site Vulnerability (деталі)
• Opial CMS v2.0 - Multiple Web Vulnerabilities (деталі)

На початку 2009 року я розповідав про Charset Remembering уразливість в Mozilla Firefox через UTF-7 та EUC-JP і SHIFT_JIS кодування. А учора я писав про численні уразливості в Microsoft Internet Explorer, що були виправлені Microsoft у вівторок. І серед них була уразливість CVE-2012-1872.

Ця уразливість мене здивувала. Тому що інформація про XSS через EUC-JP в IE6 була відома ще в 2006 році - про це писав Cheng Peng Su (він перевірив декілька кодувань в браузерах Internet Explorer 6, Firefox 1.5.0.6 та Opera 9.0.1). В тому числі мій експлоіт для XSS через EUC-JP і SHIFT_JIS кодування в Mozilla Firefox також підходив і для IE (лише в ньому потрібно було додати один символ). Тільки атака через EUC-JP працювала в IE 6 і 7, а в IE 8 вона була виправлена. Схоже, що були знайдені нові символи EUC-JP кодування, через які можна проводити атаку.

Зазначу, що в MFSA 2011-47 Mozilla виправила можливість XSS атак через кодування Shift-JIS - проігнорувавши моє повідомлення у березні 2009 року і лише через 2,5 роки виправивши одну з декількох повідомлених мною уразливостей.

Тому я розробив новий експлоіт (щоб він працював в різних браузерах) і дослідив XSS атаку через різні кодування в багатьох браузерах. В результаті я виявив, що чимало браузерів вразливі до атак через EUC-JP, SHIFT_JIS та Chinese Simplified (HZ) кодування. А деякі браузери також вразливі до атак через інші кодування. І додам, що Charset Remembering атака, описана мною три роки тому, окрім Mozilla і Firefox (всіх браузерів на движку Gecko) також працює в Internet Explorer і Opera.

PoC:

XSS_charsets_in_browsers.html

Код виконається при встановленні відповідного кодування в браузері.

Дана атака через EUC-JP, SHIFT_JIS та Chinese Simplified (HZ) кодування спрацьовує в Mozilla Firefox 3, 4 і попередніх версіях (а також повинна в наступних версіях), в Internet Explorer 6, 7, 8 (і повинна в інших версіях), в Opera 10.62 (і повинна в інших версіях).

Також в IE 6, 7 і 8 атака спрацьовує через кодування Chinese Simplified (GB2312 і Big5), а в IE 6 і 7 атака спрацьовує через кодування Korean (в інших браузерах позначається як EUC-KR). В версії IE8 (і явно в IE9) не працює атака через кодування EUC-JP та Korean. А в Opera 10.62 також спрацьовує в Chinese Simplified (GB2312, GB18030 і Big5-HKSCS), але не в Big5 і HZ.