Websecurity - Веб безпека

Не тільки в інших країнах трапляються витоки даних, але й в Україні. Як раз стався витік БД користувачів українського сайта, причому державного сайта.

Сьогодні на популярному російському хакерському проекті hackzone.ru була розміщена база даних сайта solor.da-kyiv.gov.ua - сайта Солом’янської районної в місті Києві державної адміністрації. На форумі був анонсований витік бази, що стався внаслідок взлому цього державного сайту, а сама БД розміщена на ресурсі http://anonfiles.com.

В базі даних користувачів розміщена персональна інформація користувачів сайта solor.da-kyiv.gov.ua. Всього 56 записів в БД, але враховуючи 5 дублікатів (деякі користувачі по два рази зареєструвалися), то всього 51 різний користувач, включаючи тестові акаунти.

І через уразливості на сайті, адміністрація якого не слідкувала за безпекою, персональна інформація цих користувачів витекла в публічний доступ. І подібні витоки з цього сайта можуть трапитися в майбутньому, тому всі хто зареєструється на цьому сайті (доки всі уразливості на ньому не будуть виправлені) наражаються на витік власних персональних даних.

При такому несерйозному відношенні до персональних даних власних користувачів, наша влада активно збирає інформацію про людей на різних gov.ua-сайтах та пропонує ідеї (як на рівні Києва, так і всієї України) різних електронних баз даних користувачів з доступом через Інтернет. Як то БД платників податків, медичні карти та інші бази даних українців. Кожна з яких може бути скомпрометована і навіть може витекти в публічний доступ при поточній дірявості українських державних сайтів. При таких умовах я раджу, доки не будуть вкладені достатні кошти (мільйони і мільярди гривень, якщо знадобиться), не довіряти державним сайтам власні персональні дані й протестувати проти впровадження онлайнових медичних карток та інших подібних проектів.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 12.0, Thunderbird 12.0, SeaMonkey 2.9.

Переповнення буфера, пошкодження пам’яті, use-after-free, виконання коду, підвищення привілеїв.

• Mozilla Foundation Security Advisory 2012-34 (деталі)
• Mozilla Foundation Security Advisory 2012-35 (деталі)
• Mozilla Foundation Security Advisory 2012-36 (деталі)
• Mozilla Foundation Security Advisory 2012-37 (деталі)
• Mozilla Foundation Security Advisory 2012-38 (деталі)
• Mozilla Foundation Security Advisory 2012-39 (деталі)
• Mozilla Foundation Security Advisory 2012-40 (деталі)

Виявлена Buffer Overflow уразливість в PHP.

Уразливі версії: PHP 5.4.

Переповнення буфера при обробці файлів tar.

• php5 security update (деталі)

За повідомленням www.xakep.ru, Twitter заперечує взлом і говорить про “каскадний баг”.

В четвер Twitter був цілком недоступний для всіх 140 мільйонів користувачів у двох інтервалах: 70 і 28 хвилин. Відповідальність за взлом узяла на себе відома хакерська група UGNazi. Цю новину вони повідомили у твіттері після відновлення його працездатності, згадавши рух Anonymous і телеканал Russia Today.

Хештег #TangoDown прийнятий у Anonymous та інших хакерів для позначення успішної цільової атаки проти конкретного сайта. Компанія Twitter зазначина у твіттері, що все це стало результатом “каскадного бага”, тобто деякого збою, що спричинив за собою ланцюжок подій і привів в підсумку до повної недоступності сервісу.

За повідомленням bugtraq.ru, обхід парольного захисту в лінуксових MySQL: уразлива половина доступних серверів.

Некоректне приведення типів у процедурі перевірки паролів ряду зборок MySQL і MariaDB приводить до того, що з імовірністю 1/256 удається виконати підключення, використовуючи будь-який пароль - досить знати ім’я користувача (а root там звичайно буває).

Про дані проблеми з авторизацією в MySQL я вже писав.

Вразливі версії аж до 5.1.61, 5.2.11, 5.3.5, 5.5.22. Зрозуміло, у багатьох конфігураціях MySQL закритий для всіх коннектів ззовні, але так буває далеко не завжди. Ну і героїчний брутфорс відкриває всі двері за пару-трійку сотень спроб, на що піде менше секунди.

За повідомленням www.hackzone.ru, у Харкові затриманий виробник скіммерів.

Співробітники СБУ затримали чоловіка, що виготовив саморобний пристрій для зчитування даних з банківських карт.

Як повідомляє прес-служба Управління СБУ в Харківській області, у місцевого жителя був вилучений саморобний пристрій для зчитування інформації з банківських карт (скіммер). Співробітникам правоохоронних органів удалося установити, що чоловік мав намір здійснити несанкціоноване впровадження в роботу комп’ютерних систем банківських установ з метою викрадання коштів.

Цього місяця, 14.06.2012, вийшла Opera 12. Нова мажорна версія браузера вийшла через півтора роки після виходу Opera 11.

Особливістю Opera 12 є вихід 64-бітної версії під Windows. Таким чином, Opera стала першою компанією після Microsoft, що змогла випустити 64-бітний білд під Windows, цього дотепер не змогли зробити ні розробники Chrome, ні Firefox.

Головною інновацією в Opera 12 стала підтримка повного апаратного прискорення всіх компонентів: від користувацького інтерфейсу до рендеринга сторінок, з підтримкою бекендів OpenGL і DirectX.

• Вышла Opera 12 с полным аппаратным ускорением (деталі)

У червні місяці Microsoft випустила 7 патчів. Що так само як у травні (але уразливостей виправлено на дві більше).

У червневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 25 уразливостей в програмних продуктах компанії. З них 3 патчі закривають критичні уразливості, а 4 патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Internet Explorer, RDP, .NET Framework, Lync та Dynamics AX Enterprise Portal.

У червні, 15.06.2012, вийшов Mozilla Firefox 13.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 13 і в ній виправлі деякі баги останнього релізу.

Mozilla представила коригувальний випуск веб браузера Firefox 13.0.1 в якому усунуто кілька помилок, серед яких рішення проблем при роботі в сервісі Hotmail (наприклад, автоматично не обновлялася папка з вхідними листами) і усунення краху при виході у випадку використання Flash 11.3.

Одночасно вийшов реліз поштового клієнта Thunderbird 13.0.1, що також виправляє деякі баги.

• Релиз Firefox 13.0.1 и Thunderbird 13.0.1 с устранением ошибок (деталі)

Виявлені уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 8.4.

Слабка реазлизация crypt(), DoS.

• postgresql-8.4 security update (деталі)

Виявлена можливість доступу за границі буфера через PDO в PHP.

Уразливі версії: PHP 5.4.

Доступ за границі буфера через прекомпільований запит.

• [php<=5.4.3] Parsing Bug in PHP PDO prepared statements may lead to access violation (деталі)

Виявлена можливість обходу захисту в Microsoft IIS.

Уразливі продукти: IIS 6 та 7.5 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Доступ до вмісту скриптових файлів, обхід парольного захисту.

• IIS 6.0/7.5 Vulnerabilities [moderate risk] (деталі)