Websecurity - Веб безпека

Виявлена можливість підміни сертифіката в Ruby.

Уразливі версії: Ruby 1.9.

Можливо обійти перевірку імені в сертифікаті.

• Vulnerability in Ruby (деталі)

За повідомленням www.xakep.ru, в Opera украли сертифікат.

Opera Software повідомила, що 19 червня 2013 року виявлена цільова атака з проникненням у внутрішню мережу компанії. Зловмисникам удалося одержати “як мінімум один старий і прострочений сертифікат Opera для підпису коду”.

Таким чином, зловмисники змогли поширювати шкідливі програми за підписом Opera Software. Інцидент аналогічний крадіжці сертифіката Adobe у вересні 2012 року. Шкідлива програма була поміщена в автоапдейт браузера. По оцінці експертів, проблема торкнулася всього кілька тисяч користувачів по усьому світі.

За повідомленням ain.ua, МВС України оголосило війну кіберзлочинності.

Рівень кіберзлочинності в Україні неухильно зростає, чого не скажеш про статистику розкриття комп’ютерних злочинів.

Управління МВС по боротьбі з кіберзлочинністю повідомляє, що з 1 по 30 червня в більшості областей України буде проведена планова операція під умовною назвою “Трікстер” (від англійського trickster - ошуканець, ловкач). Ціль операції - активізація заходів щодо розкриття фактів шахрайства в мережі Інтернет.

Особливої користі від цього “кіберпідрозділу” для України не було. Але подивимося на результати їх нової операції .

За повідомленням www.xakep.ru, оновився список топ-10 уразливостей від OWASP.

Учасники проекту Open Web Application Security Project (OWASP) уже десять років складають список Топ-10 самих небезпечних уразливостей у веб додатках, намагаючись привернути увагу усіх веб розробників. На сайті OWASP кожна з уразливостей розбирається докладно.

OWASP Top 10 2013:

A1 Впровадження коду.
A2 Некоректна аутентифікація і керування сесією.
A3 Міжсайтовий скриптінг (XSS).
A4 Небезпечні прямі посилання на об’єкти.
A5 Небезпечна конфігурація.
A6 Витік чуттєвих даних.
A7 Відсутність контролю доступу до функціонального рівня.
A8 Підробка міжсайтових запитів (CSRF).
A9 Використання компонентів з відомими уразливостями.
A10 Невалідовані редіректи.

У червні, 20.06.2013, вийшов PHP 5.5.0. Вихід нової гілки PHP є значним покращенням 5.x серії, який включає багато нових функцій та виправлень багів.

Серед головних нововведень наступні: додані генератори та сопрограми, ключове слово finally, спрощене API для хешування паролів та багато інших нововведень в мові програмування.

В PHP 5.5.0 також додане розширення Zend OPcache, оновлена бібліотека GD до версії 2.1 та зроблено багато інших покращень і виправлень багів. Також починаючи з цієї версії зупинена підтримка Windows XP і 2003.

По матеріалам http://www.php.net.

Виявлена можливість проведення DoS атаки проти pymongo - бібліотеки Python для роботи з MongoDB.

Уразливі версії: pymongo 2.5.

Звертання по нульовому вказівнику.

• pymongo security update (деталі)

На початку року відбувся другий масовий взлом сайтів на сервері Hvosting. Він тривав у 2010-2013 роках: 08.08.2010, від 22.04.2011 до 29.07.2011 та від 26.12.2012 до 15.04.2013.

Був взломаний сервер української компанії Hvosting. Взлом складався з багатьох невеликих дефейсів сайтів. Раніше я писав про повторний масовий взлом сайтів на сервері Hvosting.

Всього було взломано 23 сайти на сервері хостера Hvosting (IP 91.200.40.48). Це наступні сайти: www.skylight.od.ua, oldj.sugarbeet.gov.ua, journal.sugarbeet.gov.ua, bioenergy.in.ua, sugarbeet.gov.ua, gora1if.com, gora1-if.com, astravel.od.ua, cmyk.od.ua, kitejgrad.com, notary-odessa.com.ua, richgroup.com.ua, rooms.od.ua, sfvid.com.ua, stem.od.ua, yellowboards.od.ua, web-master4ree.com, sport-sklad.net.ua, zipstyle.com.ua, xdddd.ru, oriflame-fantastic.ru, do.xdddd.ru, berezneguvate.com.ua. Серед них українські державні сайти oldj.sugarbeet.gov.ua, journal.sugarbeet.gov.ua і sugarbeet.gov.ua.

З зазначених 23 сайтів 2 сайти були взломані хакером Hmei7, 4 сайти хакерами з Ashiyane Digital Security Team, 9 сайтів хакером erreur404 та по 1 сайту хакерами misafir, Sejeal, tn_hacker, xugurx, 1923Turk, K-N-S, iskorpitx та AHG.

Всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Виявлена недостатня перевірка https в python-httplib - пакеті для Python.

Уразливі версії: python-httplib 2.

Сертифікат валідується тільки на першому запиті.

• Vulnerability in python-httplib2 (деталі)

У червні, 06.06.2013, вийшли PHP 5.3.26 та PHP 5.4.16. В яких виправлено біля 15 багів. Дані релізи направлені на покращення безпеки та стабільності гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.26 та PHP 5.4.16:

• Виправлена Heap-based buffer overflow уразливість в функції php_quot_print_encode.

По матеріалам http://www.php.net.

У червні місяці Microsoft випустила 5 патчів. Що менше ніж у травні.

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 5 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Один патч закриває 19 критичних уразливостей (всі вони стосуються Internet Explorer) та чотири патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer та Flash Player в Internet Explorer для Windows 8, RT і 2012.

06.06.2013

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 27.0, Chromium 27.0.

Використання пам’яті після звільнення, DoS, короткочасні умови, витік інформації, XSS.

• chromium-browser security update (деталі)

21.06.2013

Додаткова інформація.

• chromium-browser security update (деталі)

Виявлене переповнення буфера в PHP.

Уразливі версії: PHP 5.4.

Переповнення буфера у функції quoted_printable_encode().

• Heap-based overflow in PHP (деталі)