Websecurity - Веб безпека

Виявлені численні уразливості безпеки в MySQL.

Уразливі продукти: MySQL 5.5, MariaDB 5.x.

Переповнення буфера, витік інформації, підвищення привілеїв, DoS.

• MySQL Local/Remote FAST Account Password Cracking (деталі)
• MySQL (Linux) Stack based buffer overrun PoC Zeroday (деталі)
• MySQL (Linux) Heap Based Overrun PoC Zeroday (деталі)
• MySQL (Linux) Database Privilege Elevation Zeroday Exploit (деталі)
• MySQL Denial of Service Zeroday PoC (деталі)
• MySQL Remote Preauth User Enumeration Zeroday (деталі)
• MySQL Scanner & MySQL Server for Windows Remote SYSTEM Level Exploit (деталі)

Виявлені численні уразливості безпеки в Perl.

Уразливі версії: Perl 5.15.

Переповнення буфера в decode_xs, впровадження коду в конструкторі Digest, переповнення буфера в операторі x, ін’єкція заголовків у CGI.pm.

• Perl vulnerabilities (деталі)

19.09.2012

Виявлені численні уразливості безпеки в продуктах Oracle.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, MySQL 5.5, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise HRMS 8.9, Oracle BI Publisher 10.1, PeopleSoft Enterprise CRM 9.1, PeopleSoft Enterprise SCM 9.0 та інші продукти Oracle.

Більше 90 уразливостей у різних продуктах усунуто в щоквартальному оновленні.

• Oracle Outside In Excel MergeCells Record Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Outside In Excel File TxO Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Outside In XPM Processing Remote Code Execution Vulnerability (деталі)

24.12.2012

Додаткова інформація.

• Oracle Gridengine sgepasswd Buffer Overflow (деталі)

За повідомленням www.xakep.ru, ФБР виявило взлом промислової системи клімату-контролю.

Завдяки витоку інформації у відкритий доступ потрапила доповідна записка ФБР від липня 2012 року, адресована правоохоронним органам штату Нью-Джерсі. У документі говориться про взлом промислової системи керування однієї з компаній, у результаті чого зловмисники змогли встановити бэкдор і одержати доступ до пристроїв клімату-контролю (HVAC).

Взлому піддався фреймворк Tridium Niagara ICS, для якого неодноразово публікувалися експлоіти у відкритому доступі, ця система відома великою кількістю уразливостей.

За повідомленням www.opennet.ru, оновлення Chrome 23.0.1271.97 з усуненням критичної уразливості.

Компанія Google представила коригувальний випуск веб-браузера Chrome 23.0.1271.97, у якому усунуто 6 уразливостей і представлена порція виправлень помилок. Одній з уразливостей присвоєний статус критичної проблеми, що дозволяє обійти всі рівні захисту браузера. Критична проблема (CVE-2012-5142) виявлена співробітниками Google і виявляється у виході за границі буфера при виконанні операцій по роботі з історією відвідувань.

Ще три уразливості отримали статус небезпечних та дві - помірних. Після виходу Google Chrome 23 у листопаді, вже 12.12.2012 компанія випустила оновлення до цієї версії (не дочекавшись виходу нової версії). Вихід версії Chrome 24 очікується до кінця року.

За повідомленням www.xakep.ru, в магазині ExploitHub викрадені експлоіти на чверть мільйона доларів.

Хакерська група Inj3ct0r заявила про злом сайта одного з найбільших магазинів експлоітів ExploitHub.com. За словами хакерів, вони одержали у своє розпорядження всі бази даних і файли з FTP-сервера.

Зломщики провели аудит, тобто склали вартість усіх експлоітів, виставлених на продаж. По їхній оцінці, загальна вартість викраденої інформації складає рівно $242333.

Так що не тільки звичайні онлайн магазини та e-commerce сайти взламують, але й нелегальні, такі як магазини експлоітів. І ці війни хакерів повинні нагадати власникам онлайн магазинів, в тому числі підпільних, про необхідність слідкувати за безпекою власних сайтів.

Виявлена можливість витоку інформації в Internet Explorer.

Уразливі версії: Microsoft Internet Explorer 6, 7, 8, 9 та 10 для Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8.

Сторінка може відстежити будь-які переміщення мишею, навіть не пов’язані з нею.

• Information disclosure (mouse tracking) vulnerability in Microsoft Internet Explorer versions 6-10 (деталі)

Виявлені уразливості безпеки в Apache.

Уразливі версії: Apache 2.2.

DoS-уразливості в mod_proxy_ajp, витік інформації про довжину повідомлення в TLS.

• apache2 security update (деталі)

28.11.2012

Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 10.0, Thunderbird ESR 10.0, Firefox 16.0, Thunderbird 16.0, SeaMonkey 2.13.

Численні пошкодження пам’яті, переповнення буфера, підвищення привілеїв і обхід захисту.

• Mozilla Foundation Security Advisory 2012-91 (деталі)
• Mozilla Foundation Security Advisory 2012-92 (деталі)
• Mozilla Foundation Security Advisory 2012-93 (деталі)
• Mozilla Foundation Security Advisory 2012-94 (деталі)
• Mozilla Foundation Security Advisory 2012-95 (деталі)
• Mozilla Foundation Security Advisory 2012-96 (деталі)
• Mozilla Foundation Security Advisory 2012-97 (деталі)
• Mozilla Foundation Security Advisory 2012-98 (деталі)
• Mozilla Foundation Security Advisory 2012-99 (деталі)
• Mozilla Foundation Security Advisory 2012-100 (деталі)
• Mozilla Foundation Security Advisory 2012-101 (деталі)
• Mozilla Foundation Security Advisory 2012-102 (деталі)
• Mozilla Foundation Security Advisory 2012-103 (деталі)
• Mozilla Foundation Security Advisory 2012-104 (деталі)
• Mozilla Foundation Security Advisory 2012-105 (деталі)
• Mozilla Foundation Security Advisory 2012-106 (деталі)

11.12.2012

Додаткова інформація.

• Mozilla Firefox “DocumentViewerImpl” Class Remote Use-After-Free Vulnerability (деталі)
• Mozilla Firefox “imgRequestProxy” Remote Use-After-Free Vulnerability (деталі)

За повідомленням ridna.ua, Міжнародний день захисту інформації.

Учора відзначили Міжнародний день захисту інформації. У 1988 році американська Асоціація комп’ютерного обладнання оголосила 30 листопада Міжнародним днем захисту інформації (Computer Security Day).

Саме тоді була зафіксована перша масова вірусна епідемія, яка паралізувала роботу шести тисяч інтернет-вузлів у США. Цей мережевий вірус назвали “хробаком Морріса”.

Щороку в цей день з ініціативи Асоціації комп’ютерного обладнання проводяться міжнародні конференції з захисту інформації. Цей день став нагадуванням про те, що кожен користувач, адміністратор і розробник ПЗ має відповідати за безпеку своїх інформаційних активів і ресурсів.

За повідомленням www.xakep.ru, новий 64-бітний руткіт під Linux робить ін’єкції фреймів у HTTP-трафік.

Нещодавно був виявлений новий руткіт, що працює під 64-бітною ОС Linux і використовує Nginx. Шкідливу програму один користувач знайшов на своєму сервері Debian Squeeze, веб-сервер Nginx 1.2.3.

Знайти руткіт удалося після того, як деякі відвідувачі сайта поскаржилися, що їм відвантажується дивний iframe з редиректом на шкідливу сторінку. Тобто зловмиснику вдалося впровадити код на сторінки сайта. Як виявилося впровадження фреймів відбувається шляхом підміни системної функції tcp_sendmsg, тобто впровадження в HTTP-трафік здійснюється шляхом безпосередньої модифікації вихідних TCP-пакетів на сервері Linux.

За повідомленням www.xakep.ru, у продажі модулі Apache для ін’єкцій фреймів.

Відомий фахівець з безпеки Данчо Данчев розповів, як зловмисники автоматизували рутинні операції по масовому інфікуванню уразливих серверів.

Якщо коротко, то алгоритм виглядає так: шукають уразливі сервери, на яких розміщується максимальна кількість доменів (бажано більше тисячі), а потім упроваджують шкідливий iframe у кожний файл .php/.html/.js, що вдалося знайти на цих доменах.

У проведенні подібних операцій допомагають саморобні модулі для Apache 2.x, які Данчо Данчев знайшов у продажі за ціною біля $1000. Судячи з наявних свідчень, ці модулі уже використовувалися для проведення ряду атак, про які повідомляли антивірусні компанії. Один з таких модулів зветься DarkLeech.

При наявності на сервері таких рутків чи модулів до веб сервера, які будуть розміщувати malware, визначити це за допомогою скриптів, що працюють на цьому сервері (так званих вбудованих веб антивірусів), не вдасться. Зате зовнішні антивірусні системи, як моя SecurityAlert, зможуть виявити такі інциденти на серверах.

Виявлена можливість обходу захисту в mod_security для Apache. Це тисячний випадок обходу захисту в mod_security.

Цього року я вже писав про обхід захисту в Apache mod_security. Подібні методи постійно виявляються, сам розробив чимало методів обходу WAF, в тому числі mod_security. Тобто це звичайна ситуація для WAF, що їх захисні фільтри обходяться (не кажучи, що вони апріорі не захищають від всіх атак).

Уразливі версії: ModSecurity 2.6.

Можливо обійти фільтрацію через подвійний \r в ідентифікаторі границі частини.

• ModSecurity multipart/invalid part ruleset bypass (деталі)

За повідомленням www.xakep.ru, витік 100000 паролів IEEE відбувся через “аномалію” проксі.

Наприкінці вересня румунський хакер Раду Драгусін знайшов близько 100 тис. імен користувачів шановної організації Institute of Electrical and Electronics Engineers (IEEE), з паролями у форматі plaintext, у логах на публічно доступному FTP за адресою ftp://ftp.ieee.org/uploads/akamai/. Одержавши 100 гігабайт логів, він витяг звідти корисні дані й опублікував результати, хоча відмовився викласти у відкритий доступ вихідні файли.

Фахівці IEEE швидко усунули уразливість, видаливши логи з відкритого доступу. При цьому вони пояснили витік логів з логінами і паролями “аномалією” проксі.

За статистикою хакера, серед працівників IEEE п’ятьма найбільш вживаними паролями були:

• 123456
• ieee2012
• 12345678
• 123456789
• password

За повідомленням www.vedomosti.ru, Google знову заборонили в Росії.

Нещодавно чергова IP-адреса компанії Google потрапила у російські “чорні списки” сайтів із забороненою інформацією, третій за останній тиждень. Цього разу заборонили IP-адресу блог-сервісу blogspot.com, на якому, серед іншого, зберігаються користувацькі файли поштових скриньок Gmail.com.

Google став регулярним гостем списку сайтів із забороненою інформацією zapret-info.gov.ru, що запрацював з 1 листопада. На початку минулого тижня у нього на кілька годин потрапила адреса служби пошуку картинок, у середині тижня на кілька годин заборонили найбільший відео-хостинг світу YouTube. А в неділю ввечері влада заблокувала IP-адресу 173.194.71.132. Вона належить сервісу блогів blogspot.com, яким володіє Google.

І хоча Роскомнадзор пояснив цей інцидент програмним збоєм, але систематичне попадання сайтів Гугла до Російського реєстру сайтів із забороненою інформацією дуже показове. Блокують цілій IP лише за один сайт зі шкідливим змістом (сервіс картинок заборонили через дитячу порнографію, YouTube - через пропаганду самогубств, а blogspot.com - за інформацію про наркотики), але це говорить, що Гугл весь час погано слідкує зі контентом на своїх сервісах. Зокрема вже давно виявляють malware на сайтах Гугла - ще у 2009 році я писав про інфекції на google.com та blogspot.com.

За повідомленням www.xakep.ru, бекдор у системі веб-аналітики Piwik.

Користувачі Open Source пакета для веб-статистики і аналітики Piwik звернули увагу на проблему з безпекою. Повідомлення про це опубліковано в Seclists увечері 26 листопада. У свіжому архіві Piwik 1.9.2 у файлі /piwik/core/Loader.php виявлено підозрілий код. Який зашифрований, але після дешифрування виявилося, що це бекдор.

Після інформування, розробники оперативно усунули проблему. Вони пояснили, що зловмисник взломав сервер Piwik.org за допомогою уразливого плагіна WordPress і впровадив шкідливий код в один із програмних файлів. Подібні випадки включення бекдорів вже траплялися з phpMyAdmin та іншими популярними опенсорсними програмами.