Websecurity - Веб безпека

За повідомленням www.xakep.ru, взлом TLS і SSL через уразливість у шифрі RC4.

На цьому тижні в Сінгапурі пройшла криптографічна конференція Fast Software Encryption. Головною подією став виступ Дена Бернстейна, професора університету Іллінойсу, що представив нову техніку для розкриття протоколів Transport Layer Security (TLS) і Secure Sockets Layer (SSL), якщо в них використовується шифр RC4.

За повідомленням ain.ua, Україна на 4 місці у світі по кількості вихідних кібератак.

Ведучий німецький оператор зв’язку Deutsche Telekom візуалізував карту країн-джерел кібератак, на якій Україна виявилася на 4 місці після Росії, Тайваню і Німеччини. За останній місяць з українських серверів було зроблено 566531 атака.

На порталі в реальному часі показані атаки і країни, з яких вони виходять, а також статистика найбільш частих видів атак, зрізи по регіонах з найбільшим числом активних серверів, що атакують. У компанії підкреслюють, що число інтернет-загроз постійно зростає - щодня виявляють близько 200 тисяч нових зразків шкідливого коду. Тільки в пастках Deutsche Telekom збираються записи про 450 тисяч атак у день.

За повідомленням www.xakep.ru, опубліковано кредитну історію Білла Гейтса.

На сайті Exposed.su опубліковані персональні дані на декількох знаменитостей. Інформація викрадена з деякого банківського сайта, де зберігається кредитна історія всіх громадян. Кредитна історія містить у собі статистику витрат по кредитних картках, платежі по усіх виданих кредитах, а також базову інформацію про громадянина - дата народження, адреса, усі минулі адреси, ім’я, усі минулі імена, місця роботи та інше. Зокрема оприлюднена кредитна історія Білла Гейтса.

Сам знаходив під час пентестів уразливості на сайтах українських банків, що дозволяли отримати доступ до кредитної історії та персональних даних громадян. Тому такі уразливості трапляються і вони несуть ризики для клієнтів банків.

Виявлена можливість проведення DoS проти Apache mod_dav_svn.

Уразливі продукти: Apache mod_dav_svn 1.6.

Звертання по нульовому вказівнику при обробці MKACTIVITY і PROPFIND.

• Apache Subversion mod_dav_svn DoS via MKACTIVITY/PROPFIND (деталі)

У лютому, 27.02.2013, вийшов Mozilla Firefox 19.0.1, а вже 07.03.2013 вийшов Mozilla Firefox 19.0.2. Нові версії браузера вийшли лише через, відповідно, вісім та шістнадцять днів після виходу Firefox 19. І в них виправлені деякі баги та уразливості допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 19.0.1 у якому усунутий один баг. Це виправлення стосується лише Windows 8 - покращена стабільність на деяких графічних картах AMD Radeon HD (тобто виправлене вибивання браузера). Хоча Мозіла і не відзначила це як виправлення безпеки, що типово для неї, але я відношу це до секюріті виправлення (бо це була DoS в браузері).

Також Mozilla представила коригувальний випуск Firefox 19.0.2 у якому усунута одна дірка. Це Use-after-free уразливість в HTML-редакторі. Дана уразливість стосується Mozilla Firefox, Thunderbird і Seamonkey, які були оновлені.

Виявлений витік пам’яті в Perl.

Уразливі версії: Perl 5.8, 5.10, 5.12, 5.14, 5.16.

Витік пам’яті при роботі з хеш-таблицями.

• perl security update (деталі)

Використання пам’яті після звільнення в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 19.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.16.

Use-after-free уразливість в HTML-редакторі. Дана уразливість була виправлена в Firefox 19.0.2, Firefox ESR 17.0.4, Thunderbird 17.0.4 та SeaMonkey 2.16.1.

• Mozilla Foundation Security Advisory 2013-29 (деталі)

15.02.2013

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 11.5.

Численні можливості виконання коду, в тому числі ті, що використовуються In-the-wild.

• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)

13.03.2013

Додаткова інформація.

• Security updates available for Adobe Flash Player (деталі)

Виявлені уразливості безпеки в Apache.

Уразливі версії: Apache 2.2, Apache 2.4.

Міжсайтовий скриптінг у mod_info, mod_status, mod_imagemap, mod_ldap, mod_proxy_ftp, mod_proxy_balancer.

• Vulnerabilities in Apache (деталі)

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.3, PHP 5.4.

Обхід захисту safe_dir і виконання коду при роботі з SOAP.

• Vulnerabilities in PHP (деталі)

За повідомленням www.xakep.ru, Аноніми витягли 16 ГБ файлів із сервера Bank of America.

“Служба розвідки” анонімів Par:AnoIA (Anonymous Intelligence Agency) оголосила про успішний “взлом” Bank of America, Bloomberg, Thomson Reuter і декількох інших компаній, а в підтвердження своїх слів виклала 16 гігабайт документів, вихідних кодів і програмного забезпечення, вилучених із сервера.

Хакери підкреслюють, що взлом як такий не мав місце, а файли отримані у результаті неправильної конфігурації сервера, через що секретні документи виявилися у відкритому доступі. Як повідомляється, некоректно сконфігурованим був один із серверів у Тель-Авіві.

Некоректна конфігурація, зокрема лістінг директорій - це Directory Indexing уразливість, що доволі поширена. Подібні уразливості, що призводять до витоків інформації, я сам постійно знаходжу в Інтернеті. В статті Information Leakage в локальних пошуковцях я писав про ще один варіант витоків інформації.

За повідомленням www.opennet.ru, в Java виявлена 0-day уразливість.

Через трохи більше тижня з моменту виходу коригувальних оновлень Java SE 7 Update 15 і Java SE 6 Update 41 з усуненням уразливостей, у Мережі зафіксована шкідлива активність, що вражає системи користувачів через раніше невідому 0-day уразливість (CVE-2013-1493) в Java-плагині для браузерів. Уразливість використовується для поширення шкідливого ПЗ McRAT, що уражає Windows-системи при відкритті спеціально створених сторінок на підконтрольних зловмисникам сайтах.

В останні два роки в Java весь час знаходить уразливості - щомісяця, а іноді й по декілька разів на місяць, з’являються повідомлення про чергові “зеродеї” в Java. Компанія Oracle вже не може обійтися щоквартальними випусками патчів і їй доводиться випускати патчі частіше. Але вона все ще не встигає виправляти дірявість Java.

За повідомленням www.xakep.ru, “Яндекс” упровадив детектор шкідливих Java-апплетів.

Команда “Безпечного пошуку Яндекса” розробили детектор сайтів, що заражають комп’ютери відвідувачів за допомогою шкідливих Java-апплетів.

Детектор здатний виявляти обфусцований шкідливий код, що використовує самі популярні на сьогоднішній день уразливості JRE. Враховуючи дірявість Java, Яндекс цілком слушно зробив, що додав в свою антивірусну систему детектор таких експлоітів. Іншим розробникам веб антивірусів слід зробити те саме.

29.01.2013

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle Sun Solaris 9, 10 і 11, MySQL 5.1, MySQL 5.5, Oracle Application Server Single Sign-On, Oracle E-Business Suite 11.5, PeopleSoft Enterprise HRMS 9.0 і 9.1, PeopleSoft Enterprise PeopleTools 8.51 і 8.52, та інші продукти Oracle.

Більше 85 різних уразливостей виправлено в щоквартальному оновленні.

• Oracle Outside In Technology Paradox Database Handling Denial of Service (деталі)
• Oracle Outside In Technology Paradox Database Handling Buffer Overflow (деталі)

01.03.2013

Додаткова інформація.

• SQL Injection in Oracle Alter FBA Table (деталі)
• Oracle 11g Stealth Password Cracking Vulnerability (деталі)
• Oracle EM Cross Site Scripting in XDBResource cancelURL parameter (деталі)
• Oracle Database GeoRaster API overflow (деталі)
• HTTP Response Splitting in Oracle EM (policyViewSettings) (деталі)
• SQL Injection in Oracle EM (advReplicationAdmin) (деталі)
• SQL Injection in Oracle EM (dBClone) (деталі)
• SQL Injection in Oracle EM (SCPLBL_COLLECTED parameters) (деталі)
• SQL Injection in Oracle EM (streams queue) (деталі)
• Oracle EM Segment Advisor Arbitrary URL redirection/phishing (деталі)
• Cross-site scripting in Oracle EM (advReplicationAdmin) (деталі)
• SQL Injection in Oracle EM (Resource Manager) (деталі)