Websecurity - Веб безпека

У травні, 03.05.2012, вийшли PHP 5.3.12 та PHP 5.4.2. В яких виправлена критична уразливість. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Cеред секюріті виправлень в PHP 5.3.12 та PHP 5.4.2:

• Виправлена можливість відправки довільних команд PHP інтерпретатору.

До цієї атаки уразливі деякі CGI-орієнтовані інсталяції (Apache+mod_php і nginx+php-fpm не є вразливими). Команди передаються PHP інтерпретатору через спеціальні GET або HEAD запити. Зокрема за допомогою команди (ключа) “-s” можна читати вихідні коди скриптів.

Для перевірки на наявність даної уразливості в PHP на сервері потрібно відправити наступний запит:
http://site_on_php/?-s

Окрім патча, розробники PHP також запроновували метод захисту від цієї атаки за допомогою правил mod_rewrite. Але ці правила виявилися неефективними й їх можна було легко обійти, тому вже через три дні вони випустили новий варіант правил mod_rewrite для захисту від цієї атаки.

По матеріалам http://www.php.net.

Виявлена можливість пошкодження пам’яті в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 10.3, Flash Player 11.1, Flash Player 11.2.

Пошкодження пам’яті при роботі з об’єктами. Дана уразливість активно використовувалася в травні для атак в Інтернеті.

• Security update available for Adobe Flash Player (деталі)

Виявлений витік інформації в Microsoft Forefront Unified Access Gateway.

Уразливі версії: Microsoft Forefront Unified Access Gateway 2010.

Перенаправлення запиту, обхід контролю доступу (що призводить до витоку важливої інформації).

• Microsoft Security Bulletin MS12-026 - Important Vulnerabilities in Forefront Unified Access Gateway (UAG) Could Allow Information Disclosure (2663860) (деталі)

У квітні, 26.04.2012, вийшли PHP 5.3.11 та PHP 5.4.1. В яких виправлено більше 60 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілок 5.3.x і 5.4.x.

Cеред секюріті покращень та виправлень в PHP 5.3.11 та PHP 5.4.1:

• Виправлений баг #54374 (Недостатня перевірка імені завантаженого файла призводить до пошкодження індекса $_FILES). (CVE-2012-1172).
• Додані open_basedir перевірки в readline_write_history і readline_read_history.

Cеред секюріті покращень та виправлень лише в PHP 5.3.11:

• Виправлений баг #61043 (регресія в magic_quotes_gpc виправленні до CVE-2012-0831).

По матеріалам http://www.php.net.

У квітні місяці Microsoft випустила 17 патчів. Що значно більше ніж у березні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 17 бюлетенів по безпеці. Що закривають 63 уразливості в програмних продуктах компанії, що є рекордом в цьому році. З них 12 патчів закривають критичні уразливості, а 51 патч закриває важливі уразливості.

Біля половини з цих уразливостей - це уразливості виду Elevation of Privilege в ядрі Windows.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, Internet Explorer та Forefront Unified Access Gateway.

В цьому році, 14.02.2012, відбувся масовий взлом сайтів на сервері CityNet. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії CityNet. Взлом, що складався з серії взломів, відбувся після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 16 сайтів на сервері української компанії CityNet (IP 109.237.81.60). Це наступні сайти: www.yuruslugi.com.ua, www.adu.org.ua, www.cis.in.ua, fpo.detut.edu.ua, www.dkl1.kiev.ua, www.golfstream.kiev.ua, www.dkl2.kiev.ua, ekuzt.detut.edu.ua, fem.detut.edu.ua, ekuzt2009.detut.edu.ua, konferencia.detut.edu.ua, library.detut.edu.ua, 2011.ekuzt.gov.ua, ekuzt.gov.ua, www.kortny.com.ua, hp-canon.com.ua. Серед них українські державні сайти 2011.ekuzt.gov.ua та ekuzt.gov.ua.

З зазначених 16 сайтів 3 сайти були взломані хакером 4cHrf, 11 сайтів хакером 3viL666, 1 сайт хакером DR-MTMRD та 1 сайт хакером Hmei7.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (це стосується лише дефейсів 3viL666, інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

12.04.2012

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні уразливості дають можливість виконання коду.

• Microsoft Security Bulletin MS12-023 - Critical Cumulative Security Update for Internet Explorer (2675157) (деталі)

24.04.2012

Додактова інформація.

• Microsoft Internet Explorer VML Remote Code Execution (MS12-023 / CVE-2012-0172) (деталі)

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 10.3, Flash Player 11.1, Flash Player 11.2, AIR 3.2.

Різні пошкодження пам’яті.

• Adobe Flash Player NetStream Remote Code Execution Vulnerability (APSB12-07 / CVE-2012-0773) (деталі)

За повідомленням www.xakep.ru, Google розіслала 20 тисяч повідомлень про взлом.

Метт Каттс (Matt Cutts), керівник відділу якості пошуку Google і боротьби з пошуковим спамом, повідомив у своєму твітері цікаву новину. Виявляється, декілька днів тому компанія Google розіслала на адресу 20000 власників доменів повідомлення “Ваш сайт міг бути взломаний”.

Як можна зрозуміти з твіта, сповіщення власників сайтів здійснено автоматично. Пошуковий робот Google зайшов, як звичайно, на сайт, але замість звичайного контента знайшов редирект. Очевидно, така поведінка є підозрілою, про що миттєво повідомляється власнику сайта.

Торік я вже писав про сповіщення Гугла. Що починаючи з 20 червня компанія Google почала сповіщати користувачів WordPress про необхідність оновити движок. А зараз компанія пішла далі і почала сповіщати про появу підозрілих редиректів на сайтах. Як і в інших випадках, сповіщення відбувається в інтерфейсі Google Webmaster Tools (GWT), а також по емайлу, якщо користувач зареєструвався в GWT (тобто сповіщають не кожного власника сайта, а лише користувачів GWT).

За повідомленням www.3dnews.ru, Symantec знайшла нові шкідливі додатки в Google Play.

Близько 30 додатків з онлайн-магазина Google Play нещодавно були відзначені Symantec як “шкідливі”. Фрагменти заражених програм, що визначаються як Androіd.Dougalek, містилися в іграх і додатках так чи інакше стосовних до відео. Перші аналогічні шкідливі елементи були виявлені ще в лютому цього року, а потім у березні. На думку фахівців Symantec, кількість смартфонів, на які були встановлені ці програми, може варіюватися від 70 до 300 тисяч.

Шкідливі програми та уразливості в Android Market вже знаходили неодноразово. А в цьому році дійшла черга до нового онлайн-магазину Гугла.

За повідомленням ain.ua, податкова призупинила роботу найбільшого інтернет-магазина України Rozetka.UA.

На цьому тижні відбулося закриття онлайн магазинів Rozetka.ua і Sokol.ua та проведені обшуки в офісних приміщеннях даних компаній податковою інспекцією. Претензії до магазинів від Державної Податкової Служби стосуються несплати податків у великих розмірах. Разом з відкриттям кримінальної справи проти Rozetka і проведенням обшуків в двох магазинах, податківці також вирішили закрити їхні сайти. Зараз сайти обох магазинів вже відновили свою роботу (після перенесення хостингу закордон).

З даних інцидентів цілком очевидно, що не тільки СБУ і МВС можуть закривати сайти через порушення законодавства (про що я писав неодноразово), а також і ДПС.

Виявлена можливість підвищення привілеїв в Microsoft SQL Server.

Уразливі версії: Microsoft SQL Server 2005, SQL Server 2008.

Підвищення привілеїв через RESTORE DATABASE. Атака можлива через SQL ін’єкцію або при наявності доступа до веб сервера для розміщення власних скриптів для виконання довільних SQL команд.

• Privilege escalation via internal sql injection in RESTORE DATABASE command (деталі)