Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Fiberhome AN5506-04-F RP2669 - Persistent Cross-Site Scripting (деталі)
• PLC Wireless Router GPN2.4P21-C-CN - Incorrect Access Control (деталі)
• PLC Wireless Router GPN2.4P21-C-CN - Cross-Site Request Forgery (деталі)
• ManageEngine ServiceDesk Plus 9.3 - User Enumeration (деталі)
• Dell KACE Systems Management Appliance (K1000) 6.4.120756 - Unauthenticated Remote Code Execution (деталі)

У липні, 29.07.2018, я знайшов нові уразливості в Philips Envision Gateway, зокрема Cross-Site Scripting та Cross-Site Request Forgery. Це система керування розумним будинком.

Раніше я писав про уразливості в сотнях тисяч різних мережевих пристроїв, в тому числі Smart Home системах.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

У лютому, 12.02.2019, вийшов Mozilla Firefox 65.0.1. Нова версія браузера вийшла через пів місяці після виходу Firefox 65.

Це секюріті випуск, в якому виправлені уразливості CVE-2018-18356: Use-after-free in Skia, CVE-2019-5785: Integer overflow in Skia та CVE-2018-18511: Cross-origin theft of images with ImageBitmapRenderingContext.

• MFSA 2019-04 Security vulnerabilities fixed in Firefox 65.0.1 (деталі)

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 12.

Пошкодження пам’яті, виконання коду, підробка адресного рядка, проблема з видаленням історії браузера.

• APPLE-SA-2018-12-05-4 Safari 12.0.2 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://tet.gov.ua (хакером Kripton) - 04.11.2018 - похаканий державний сайт зараз сайт вже виправлений адмінами
• http://kyiv-oblosvita.gov.ua (хакером Imam) - 14.12.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lubnyzem.gov.ua (хакером Mo3Gza HaCkEr) - 12.01.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rada.konotop.org (хакером Imam) - 16.01.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://konotop-rada.gov.ua (хакером Inconnu Dz) - 26.01.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Calendar, 404 To 301, Google Maps, W3 Total Cache. Для котрих з’явилися експлоіти.

• WordPress Calendar 1.3.7 Cross Site Scripting (деталі)
• WordPress 404 To 301 2.2.8 Cross Site Scripting (деталі)
• WordPress Google Maps 6.3.14 Cross Site Request Forgery (деталі)
• WordPress W3 Total Cache 0.9.4.1 Race Condition (деталі)
• WordPress W3 Total Cache 0.9.4.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці експлоіти в веб додатках:

• Crypttech CryptoLog - Remote Code Execution (Metasploit) (деталі)
• BEWARD N100 H.264 VGA IP Camera M2.1.6 - Arbitrary File Disclosure (деталі)
• devolo dLAN 550 duo+ Starter Kit - Cross-Site Request Forgery (деталі)
• devolo dLAN 550 duo+ Starter Kit - Remote Code Execution (деталі)
• Raisecom XPON ISCOMHT803G-U_2.0.0_140521_R4.1.47.002 - Remote Code Execution (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 64, Firefox ESR 60.4, Thunderbird ESR 60.4.

Пошкодження пам’яті, виконання коду, обхід налаштувань проксі, обхід обмежень.

• MFSA 2019-01 Security vulnerabilities fixed in Firefox 65 (деталі)

У січні, 10.01.2019, вийшли PHP 7.1.26 і PHP 7.2.14. У версії 7.1.26 виправлено 13 уразливостей, у версії 7.2.13 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.26 і 7.2.14 виправлено:

• Вибивання.
• Пошкодження пам’яті.
• Переповнення буферу.
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

У травні я дав інтерв’ю для телепрограми “Кордон держави”. Що вийшло 9 червня на 5 каналі.

В програмі йшлося про телекомунікаційні атаки проти українських військових та шпигунську радіоелектронну техніку Росії в зоні бойових дій. Що є важливою складовою сучасної гібридної війни. А також про мій проект Українські Кібер Війська та нашу роботу в цій сфері за п’ять років. Всі бажаючі можуть його подивитися.