Websecurity - Веб безпека

У червні, 18.06.2013, майже через місяць після виходу Google Chrome 27, вийшов Google Chrome 28.

В браузері зроблено декілька нововведень та виправлені помилки. Та збільшені мінімальні вимоги до Linux-систем.

А також виправлено 19 уразливостей, деякі з яких позначені як небезпечні. Це більше ніж у попередній версії браузера.

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free), обхід SOP при обробці фреймів, плутанина типів у движку v8 та інші уразливості.

• Релиз web-браузера Chrome 28 с повышением минимальных требований к Linux-системам (деталі)

За повідомленням www.opennet.ru, в OpenX виявлений бекдор.

У коді OpenX, відкритого движка для організації показу онлайн реклами, виявлений бекдор. Наявність бекдора підтверджена у версії 2.8.10, але за заявою дослідників безпеки шкідливий код поставлявся починаючи з листопада 2012 року. Розробники проекту підвердили даний інцидент і радять усім користувачам оновити OpenX до версії 2.8.11.

Про бекдори у веб додатках я вже писав неодноразово і це черговий випадок.

За повідомленням www.xakep.ru, Google підтвердила баг у генераторі псевдовипадкових чисел під Android.

Розробник Алекс Клюбін з компанії Google підтвердив наявність уразливості в криптографічному модулі Java Cryptography Architecture, що використовується додатками Android для генерації ключів, підпису і генерації псевдовипадкових чисел. Уразливість пов’язана з некоректною реалізацією генератора псевдовипадкових чисел (PRNG) в операційній системі.

Він опублікував повідомлення в блозі для розробників Android незабаром після того, як стало відомо про крадіжку як мінімум 55 BTC з одного з біткоін-гаманців, згенерованих у Android-додатку.

За повідомленням bugtraq.ru, Facebook засвітив особисті дані шести мільйонів користувачів за рік.

Помилка в реалізації механізму “Download Your Information” привела до того, що користувач при завантаженні своїх даних міг прихопити й електронну пошту/телефони інших користувачів зі свого списку контактів або тих, з ким він був яким-небудь чином пов’язаний у соціальній мережі.

Витоки ці почалися ще в 2012, але розробники усунули уразливість лише наприкінці червня. Загальне число потерпілих оцінюється в шість мільйонів.

Те, що Facebook дірявий, я писав неодноразово. Витоки інформації та інші уразливості там знаходять увесь час. Сам знаходив багато уразливостей на сайтах цієї соцмережі.

Виявлені уразливості безпеки в Apache suexec.

Уразливі продукти: Apache 2.2.

Підвищення привілеїв, обхід захисту.

• Apache suEXEC privilege elevation / information disclosure (деталі)

В січні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2011 - 2013 років: 12.08.2011 (1 сайт), від 05.04.2012 до 03.07.2012 (25 сайтів) та від 11.01.2013 до 08.06.2013 (144 сайти). Восьмий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів та трьох крупних дефейсів сайтів.

Всього було взломано 170 сайтів на сервері хостера HostPro (IP 193.169.188.27). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт mon-ark.gov.ua, який був взломаний двічі - в минулому і поточному році.

З зазначених 170 сайтів 79 сайтів були взломані хакером 3xp1r3, 6 сайтів хакером omarxarmy, 13 сайтів хакерами з Anonymous Albania, 5 сайтів хакером X_MAN 3R3R, 2 сайти хакером Hmei7, 30 сайтів хакером BADI, 4 сайти хакером misafir, 20 сайтів хакером Haranobu, 3 сайти хакером control_7rb та по 1 сайту хакерами SiR Abdou, Pak Cyber Eaglez, Mr Exploits, HeRoTurk, Pakhtun72, s13doeL, Ev!LsCr!pT_Dz, SnIpEr_39, iskorpitx.

При крупних дефейсах, як у випадку 3xp1r3, BADI і Haranobu, сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Виявлені численні уразливості безпеки в Microsoft .NET і Silverlight.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5 SP1, 3.5.1, 4, 4.5, Silverlight 5.

Критичні уразливості в .NET і Silverlight.

• Microsoft Security Bulletin MS13-052 - Critical Vulnerabilities in .NET Framework and Silverlight Could Allow Remote Code Execution (2861561) (деталі)

03.08.2013

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 27.0, Chromium 27.0.

Обхід захисту, підвищення привілеїв, DoS, використання пам’яті після звільнення, витік інформації, пошкодження пам’яті.

• chromium-browser security update (деталі)

15.08.2013

Додаткова інформація.

• chromium-browser security update (деталі)

У серпні, 06.08.2013, вийшов Mozilla Firefox 23. Нова версія браузера вийшла через півтора місяця після виходу Firefox 22.

Mozilla офіційно випустила реліз веб-браузера Firefox 23, а також мобільну версію Firefox 23 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 24 намічений на 17 вересня, а Firefox 25 на 29 жовтня.

Також був випущений Seamonkey 2.20 та оновлені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.8 і Thunderbird 17.0.8.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 23.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 23 (деталі)

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, MySQL і People Soft.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, 5.5 і 5.6, Oracle E-Business Suite 11i, Solaris 8, 9 і 10, PeopleSoft HRMS 9.1, PeopleSoft PeopleTools 8.53, JRockit 27.7 і 28.2, Oracle Access Manager 11.1, Oracle HTTP Server 10.1 та інші продукти Oracle.

89 різних уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Oracle Hyperion 11 Directory Traversal (деталі)
• Oracle Critical Patch Update Advisory - July 2013 (деталі)

На початку року відбувся третій масовий взлом сайтів на сервері Hvosting. Він тривав у 2012 та у 2013 роках: 05.01.2012 та від 11.01.2013 до 18.05.2013.

Був взломаний сервер української компанії Hvosting. Взлом складався з багатьох невеликих дефейсів сайтів та одного крупного дефейсу. Раніше я писав про другий масовий взлом сайтів на сервері Hvosting.

Всього було взломано 28 сайтів на сервері хостера Hvosting (IP 91.200.40.62). Це наступні сайти: www.businessclimate.dn.ua, www.forexrevolution.biz, umoks.com.ua, www.ppvr.kiev.ua, olevsk-rada.gov.ua, dentasept.com.ua, donkidsclub.com.ua, fri.dn.ua, human-design.com.ua, imagedesign.dn.ua, jeremy-grand.com.ua, kudinov.com.ua, kumovya.ru, massage.donetsk.ua, masterlevsha.com.ua, mebeldonetsk.dn.ua, milliontut.ru, napravo.com.ua, organicpro.com.ua, oriflame-kym.ru, promteh.dn.ua, rime.com.ua, textile-plus.com.ua, tsk-comfort.com.ua, uglekachestvo.com.ua, www.master-levsha.dn.ua та dance-land.com (в 2012 і повторно в 2013). Серед них український державний сайт olevsk-rada.gov.ua.

З зазначених 28 сайтів 2 сайти були взломані хакером Hmei7, 20 сайтів хакером Jack Riderr та по 1 сайту хакерами s13doeL, erreur404, Cloudx, Sejeal, KaraCeri та kosovali16.

У випадку крупного дефейса Jack Riderr, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Виявлена можливість проведення DoS атаки проти Apache mod_dav_svn.

Уразливі продукти: mod_dav_svn для Apache в Subversion 1.7 і 1.8.

Відмова при обробці команд COPY, DELETE, MOVE.

• Vulnerability in mod_dav_svn Apache HTTPD server module in Subversion (деталі)