Websecurity - Веб безпека

Виявлена можливість ін’єкції заголовків у Perl модулі Dancer.

Уразливі версії: perl-Dancer 1.311.

Включення заголовків у методах роботи з кукісами.

• Vulnerability in perl-Dancer (деталі)

Виявлена можливість підвищення привілеїв у Perl модулі Module::Signature.

Уразливі версії: Module::Signature 0.68.

Викликається додаток по відносному шляху.

• Module::Signature perl module vulnerability (деталі)

За повідомленням www.xakep.ru, SSL: перехопимо сьогодні, розшифруємо завтра.

Мільйони веб сайтів покладаються на SSL для захисту конфіденційної інформації, що передається по загальнодоступних каналах. Передбачається, що використання криптографічного захисту підвищує безпеку даних. У той же час недавно стали відомі секретні розпорядження АНБ по запису великих обсягів зашифрованого інтернет-трафіку для подальшого криптоаналізу.

Сенс запису зашифрованого трафіку в тім, що в майбутньому може виявитися доступним ключ для його розшифровки: у результаті судової постанови, соціальної інженерії, успішної атаки на веб сайт чи шляхом криптоаналізу.

Щоб уникнути негативних наслідків, експерти рекомендують використовувати шифри досконалої прямої таємності (Perfect forward secrecy). Такі шифри гарантують, що сесійні ключі, отримані за допомогою набору відкритих і закритих ключів довгострокового користування, не будуть скомпрометовані при компрометації одного з закритих ключів. При використанні PFS компрометація секретного ключа SSL не дозволить розшифрувати попередній трафік.

За повідомленням www.oszone.net, Microsoft пропонує винагороди за знаходження уразливостей у Windows 8.1 та IE11.

Компанія Microsoft анонсувала програму по пошуку несправностей та експлоітів у версії Windows 8.1 Preview, що була представлена на конференції BUILD 26 червня. Той, кому пощастить знайти по-справжньому невідомий дотепер експлоіт, зможе розраховувати на одержання круглої суми в $100 тисяч як винагороду по програмі Mitigation Bypass Bounty.

Таким фінансовим стимулюванням редмондська компанія бажає відшліфувати нову версію своєї операційної системи в плані безпеки. А пошук уразливостей IE11 у рамках програми IE11 Preview Bug Bounty триватиме з 26 червня по 26 липня.

За повідомленням www.xakep.ru, розсекречений Android майстер-ключ робить уразливими 99% пристроїв.

Фахівці з безпеки з компанії Bluebox Security повідомили про уразливість у моделі безпеки операційної системи Android, що дозволяє зловмиснику модифікувати уміст файлу APK, не змінюючи його криптографічного підпису.

Іншими словами, у будь-який додаток можна додати троян, зберігши криптографічний підпис оригінального автора додатка. Технічні подробиці про уразливість будуть розкриті у виступі на конференції Black Hat USA 2013, що почнеться 27 липня 2013 року.

Про проблеми з криптографією в додатках під Android я вже писав раніше. Як і про уразливості в різних додатках під цю ОС.

У червні, 25.06.2013, вийшов Mozilla Firefox 22. Нова версія браузера вийшла через півтора місяця після виходу Firefox 21.

Mozilla офіційно випустила реліз веб-браузера Firefox 22, а також мобільну версію Firefox 22 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 23 намічений на 6 серпня, а Firefox 24 на 17 вересня. Також був випущений Seamonkey 2.19.

Одночасно з Firefox 22 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.7 і Thunderbird 17.0.7.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 22.0 усунуто 14 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 22 с поддержкой Asm.js (деталі)

Звертання до неініціалізованної пам’яті в cURL і libcurl.

Уразливі продукти: cURL 7.24, libcurl 7.24.

Запис неініціалізованної пам’яті в curl_easy_unescape().

• Vulnerability in curl (деталі)

Виявлена можливість підміни сертифіката в Ruby.

Уразливі версії: Ruby 1.9.

Можливо обійти перевірку імені в сертифікаті.

• Vulnerability in Ruby (деталі)

За повідомленням www.xakep.ru, в Opera украли сертифікат.

Opera Software повідомила, що 19 червня 2013 року виявлена цільова атака з проникненням у внутрішню мережу компанії. Зловмисникам удалося одержати “як мінімум один старий і прострочений сертифікат Opera для підпису коду”.

Таким чином, зловмисники змогли поширювати шкідливі програми за підписом Opera Software. Інцидент аналогічний крадіжці сертифіката Adobe у вересні 2012 року. Шкідлива програма була поміщена в автоапдейт браузера. По оцінці експертів, проблема торкнулася всього кілька тисяч користувачів по усьому світі.

За повідомленням ain.ua, МВС України оголосило війну кіберзлочинності.

Рівень кіберзлочинності в Україні неухильно зростає, чого не скажеш про статистику розкриття комп’ютерних злочинів.

Управління МВС по боротьбі з кіберзлочинністю повідомляє, що з 1 по 30 червня в більшості областей України буде проведена планова операція під умовною назвою “Трікстер” (від англійського trickster - ошуканець, ловкач). Ціль операції - активізація заходів щодо розкриття фактів шахрайства в мережі Інтернет.

Особливої користі від цього “кіберпідрозділу” для України не було. Але подивимося на результати їх нової операції .

За повідомленням www.xakep.ru, оновився список топ-10 уразливостей від OWASP.

Учасники проекту Open Web Application Security Project (OWASP) уже десять років складають список Топ-10 самих небезпечних уразливостей у веб додатках, намагаючись привернути увагу усіх веб розробників. На сайті OWASP кожна з уразливостей розбирається докладно.

OWASP Top 10 2013:

A1 Впровадження коду.
A2 Некоректна аутентифікація і керування сесією.
A3 Міжсайтовий скриптінг (XSS).
A4 Небезпечні прямі посилання на об’єкти.
A5 Небезпечна конфігурація.
A6 Витік чуттєвих даних.
A7 Відсутність контролю доступу до функціонального рівня.
A8 Підробка міжсайтових запитів (CSRF).
A9 Використання компонентів з відомими уразливостями.
A10 Невалідовані редіректи.

У червні, 20.06.2013, вийшов PHP 5.5.0. Вихід нової гілки PHP є значним покращенням 5.x серії, який включає багато нових функцій та виправлень багів.

Серед головних нововведень наступні: додані генератори та сопрограми, ключове слово finally, спрощене API для хешування паролів та багато інших нововведень в мові програмування.

В PHP 5.5.0 також додане розширення Zend OPcache, оновлена бібліотека GD до версії 2.1 та зроблено багато інших покращень і виправлень багів. Також починаючи з цієї версії зупинена підтримка Windows XP і 2003.

По матеріалам http://www.php.net.

Виявлена можливість проведення DoS атаки проти pymongo - бібліотеки Python для роботи з MongoDB.

Уразливі версії: pymongo 2.5.

Звертання по нульовому вказівнику.

• pymongo security update (деталі)

На початку року відбувся другий масовий взлом сайтів на сервері Hvosting. Він тривав у 2010-2013 роках: 08.08.2010, від 22.04.2011 до 29.07.2011 та від 26.12.2012 до 15.04.2013.

Був взломаний сервер української компанії Hvosting. Взлом складався з багатьох невеликих дефейсів сайтів. Раніше я писав про повторний масовий взлом сайтів на сервері Hvosting.

Всього було взломано 23 сайти на сервері хостера Hvosting (IP 91.200.40.48). Це наступні сайти: www.skylight.od.ua, oldj.sugarbeet.gov.ua, journal.sugarbeet.gov.ua, bioenergy.in.ua, sugarbeet.gov.ua, gora1if.com, gora1-if.com, astravel.od.ua, cmyk.od.ua, kitejgrad.com, notary-odessa.com.ua, richgroup.com.ua, rooms.od.ua, sfvid.com.ua, stem.od.ua, yellowboards.od.ua, web-master4ree.com, sport-sklad.net.ua, zipstyle.com.ua, xdddd.ru, oriflame-fantastic.ru, do.xdddd.ru, berezneguvate.com.ua. Серед них українські державні сайти oldj.sugarbeet.gov.ua, journal.sugarbeet.gov.ua і sugarbeet.gov.ua.

З зазначених 23 сайтів 2 сайти були взломані хакером Hmei7, 4 сайти хакерами з Ashiyane Digital Security Team, 9 сайтів хакером erreur404 та по 1 сайту хакерами misafir, Sejeal, tn_hacker, xugurx, 1923Turk, K-N-S, iskorpitx та AHG.

Всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.