На початку місяця, 01.03.2012, вийшов PHP 5.4.0. Вихід нової гілки PHP є значним покращенням 5.x серії, який включає багато нових функцій та виправлень багів.
Серед головних нововведень наступні: риси (traits), скорочений синтаксис масивів, вбудований веб сервер для тестування та інші. PHP 5.4.0 значно покращує швидкодію, споживання пам’яті та виправляє більше 100 багів.
По матеріалам http://www.php.net.
Минулого року 08.08.2011 та 19.12.2011, відбувся масовий взлом сайтів на сервері Pavlabor. Нещодавно я вже розповідав про інші масові взломи.
Був взломаний сервер української компанії Pavlabor. Взлом, що складався з двох взломів (великого та невеликого), відбувся після згаданого масового взлому сайтів на сервері Freehost.
Всього було взломано 93 сайти на сервері української компанії Pavlabor (IP 194.146.180.161). Це наступні сайти: www.pga-01pcg.pavlabor.net, www.dpgn.sumy.ua, www.amuson.sumy.ua, www.poeab-lpga-01s.pavlabor.net, www.jeliba.co.uk, www.bezpekopolis.sumy.ua, www.translation-into-russian-ukrainian.net.ua, www.ddd.sumy.ua, www.lpga-01pc.pavlabor.net, www.dolphin.com.ua, www.englishmaster.kiev.ua, www.dadonov.sumy.ua, www.cea.org.ua, www.ekonomik.com.ua, www.etc.sumy.ua, www.fotoklub.com.ua, www.vodobur.sumy.ua, www.lpa-01pcg.pavlabor.net, www.veterinar.sumy.ua, www.chameleon.sumy.ua, www.zitaio.sumy.ua, www.bilbow.com.ua, www.fotokonkurs.sumy.ua, www.bania.sumy.ua, www.vivat.tv, www.tarsa.ur-kraina.com.ua, www.sumaster.com.ua, www.sumdergrybohorona.gov.ua, www.termostroy.com.ua, www.volkswagen.sumy.ua, www.sollyplus.sumy.ua, www.ssh25.sumy.ua, www.shuzo.sumy.ua, www.scelf.sumy.ua, www.s-buda.gov.ua, www.sbuda-rada.gov.ua, www.putivl-rada.gov.ua, www.prokuratura.sumy.ua, www.private-design.com.ua, www.sbn.sumy.net.ua, www.b.sumy.net.ua, www.fresh.xnet.sumy.ua, www.xnet.sumy.ua, www.forum.xnet.sumy.ua, www.test.sumy.net.ua, www.fresh.sumy.net.ua, www.lpa.pavlabor.net, www.25.school.sumy.ua, www.2.school.sumy.ua, www.manikur.sumy.ua, www.sano.sumy.ua, www.perotex.com.ua, www.greenprint.com.ua, www.delphicapital.com.ua, www.city.sumy.ua, www.arizona.net.ua, www.182.146.194.in-addr.arpa, www.183.146.194.in-addr.arpa, www.180.146.194.in-addr.arpa, www.181.146.194.in-addr.arpa, www.poeb-lpga-01.pavlabor.net, www.poeab-lpga-02m.pavlabor.net, www.poe.pavlabor.net, www.lp.pavlabor.net, www.cmz-sumy.com, www.poeab-lpga-02s.pavlabor.net, www.joomla.ot4et.com.ua, www.poeab-lpga-01m.pavlabor.net, www.evroremont.sumy.ua, www.openit17.ot4et.com.ua, www.lp-compare.pavlabor.net, www.new.ot4et.com.ua, www.opencart.manikur.sumy.ua, www.pavlabor.net, www.europa-sumy.com, www.kolchuga-lp.pavlabor.net, www.groza.pavlabor.net, www.ot4et.com.ua, www.forum.pavlabor.net, www.evropa-sumy.com, www.openit.ot4et.com.ua, www.lpau.pavlabor.net, www.manuscript.net.ua, www.works.sumy.ua, www.kapro.sumy.ua, www.medbib.zt.ua, www.krasnodon.com.ua, gorod-sumy.com.ua, uebersetzung-ins-russische-ukrainische.net.ua, www.grace.com.ua, www.jeliba.com.ua, www.photokonkurs.sumy.ua, www.ur-kraina.com.ua. Серед них українські державні сайти www.sumdergrybohorona.gov.ua, www.s-buda.gov.ua, www.sbuda-rada.gov.ua, www.putivl-rada.gov.ua.
З зазначених 93 сайтів 92 сайти були взломані хакером DEATH_K1NG та 1 сайт хакерами з RHK.
Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (за виключенням окремого взлому одного сайта). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.
Виявлена можливість витоку інформації в nginx.
Уразливі версії: nginx 1.0.
Некоректна відповідь від сервера може приводити до витоку вмісту пам’яті.
За повідомленням www.xakep.ru, у Sony вкрали файлів на 253 мільйона доларів.
Черговий взлом корпоративної мережі компанії Sony. Цього разу облікові записи користувачів залишилися в недоторканності, зате загублена коштовна власність - зловмисникам удалося одержати нелегальний доступ і скопіювати більш 50000 музичних записів, у тому числі дуже коштовні і рідкі записи Майкла Джексона. Власне, ці записи і являють собою головну цінність. Загальна вартість украдених файлів оцінюється приблизно в $253 млн.
За наявною інформацією крадіжка файлів відбулася незабаром після відомого взлому корпоративної мережі Sony PlayStation Network у квітні минулого року. Нагадаю, що торік відбулося два гучних інциденти пов’язаних з даною корпораціює: Anonymous взломали Sony PlayStation Network, а Lulz Security взломали сайт Sony Pictures.
За повідомленням bugtraq.ru, анонімний тінейджер з російським студентом вибралися з гуглівської пісочниці.
На початку березня Google Chrome був взломаний на конкурсах Pwnium і Pwn2Own. Два рази в рамках Pwnium і один раз в рамках Pwn2Own. Що наочно демонструє дірявість даного браузера.
Цього року Google вирішила не спонсувати черговий конкурс Pwn2Own, виявивши, що правила дозволяють учасникам ховати від виробників виявлені уразливості. Замість цього був оголошений паралельний конкурс Pwnium.
Перші $60000 узяв російський студент Сергій Глазунов - як я і передбачав після оголошення конкрусу Pwnium - дві уразливості якого дозволили обійти пісочницю Chrome, в якості демонстрації запустивши калькулятор на цільовій машині. Аналогічних результатів у рамках Pwn2Own домоглася команда VUPEN, що відмовилася відкрити використані уразливості. Команда VUPEN і стала переможцем на Pwn2Own. І незадовго до закінчення конкурсу деякий тінейджер, під псевдонімом Pinkie Pie, представив свій комплект із трьох уразливостей, що також дозволили вибратися з хромовської пісочниці і виконати довільний код.
За повідомленням www.xakep.ru, чи потрібний HTTPS як стандарт для всіх сайтів.
Повсюдне поширення безкоштовного Wi-Fi дозволило зловмисникам красти ідентифікаційні дані прямо під час використання бездротових мереж. Для вирішення цього питання вимагаються серйозні зміни прийнятих веб-стандартів, вважає Джефф Атвуд, автор популярного блога Coding Horror.
Більшість відомих сайтів вирішують цю проблему чи за рахунок зашифрованого HTTPS-трафіка для всіх залогінених користувачів, чи надаючи його як опцію. Наприклад, Twitter перейшов на HTTPS за замовчуванням деякий час тому, а Gmail зробив це ще в січні 2010 року.
Зазначу, що не всі сайти потребують SSL для доступу до них (наприклад, сайти, що не мають акаунтів користувачів), тому немає потреби всім сайтам використовувати HTTPS. А ось тим сайтам, які мають в цьому потребу, їм варто звернути на це увагу.
05.02.2012
Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.
Уразливі продукти: Oracle E-Business Suite 11.5, Oracle 10g, Oracle 11g, MySQL 5.0, MySQL 5.1, Oracle Application Server 10g, WebLogic Server 9.2, WebLogic Server 10.0, PeopleSoft Enterprise CRM 8.9 та інші продукти Oracle.
Близько 80 уразливостей у різних продуктах усунуто в щоквартальному оновленні.
09.03.2012
Додаткова інформація.
Виявлена можливість виконання коду в PHP.
Уразливі версії: PHP 5.2.
Проблема з очищенням filter_globals за певних умов.
Виявлені численні уразливості безпеки в Adobe Shockwave Player.
Уразливі версії: Adobe Shockwave Player 11.6.
Переповнення буфера, численні пошкодження пам’яті.
У лютому місяці Microsoft випустила 9 патчів. Що більше ніж у січні (а окремих уразливостей значно більше ніж у січні).
У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають 21 уразливість в програмних продуктах компанії. З них чотири патчі закривають критичні уразливості, а інші п’ять патчів - важливі уразливості.
Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Internet Explorer, .NET Framework, SharePoint та Visio Viewer 2010.
Що цікаво, Майкрософт разом з випуском патчів як завжди оновила свій антивірус Microsoft Security Essensials, і при цьому з антивірусом стався казус. Після встановлення пакета оновлень (разом з MSE) багато користувачів зіштовхнулися з тим, що при заході на сайт Google вони одержували повідомлення про зараження вірусом, пов’язаним з Blackhole.
Скріншот: MSE вважає www.google.com інфікованим.
Раніше побідне вже траплялося у Антивіруса Касперського з Google AdSense та Яндекс.Метрика.
За повідомленням www.xakep.ru, DDoS-атаки в малому бізнесі.
“Лабораторія Касперського” опублікувала звіт зі статистикою DDoS-атак у другій половині 2011 року. Підводячи підсумки минулого року, головними подіями називаються DDoS-атаки на фондові біржі, використання DDoS у політичних протестах (Anonymous) і для вирішення конфліктів у малому бізнесі.
За повідомленням ain.ua, сайт “Дорожнього контролю”, на якому збиралися скарги на співробітників ДАІ, заблокований за рішенням суду.
Відповідно до Рішення суду Деснянського району м. Києва сьогодні було зупинене надання послуг хостінга сайту Roadcontrol, автори якого займалися захистом прав водіїв, а також розміщали фото і відео фактів порушення закону. Це сталося 14 лютого. А вже 16 лютого суд скасував рішення про блокування сайта “Дорожній контроль”. Після чого сайт відновив свою роботу.
Цей приклад з закриттям сайта демонструє, що отримати рішення суду для блокування хостінгу не є складною задачою (зокрема для міліції). Для цього потрібно лише направити позов до суду і він видасть рішення про закриття сайта, навіть якщо ніякої вини ще не доведено, тобто на час проведення слідчих дій.
Таким чином можна без жодних підстав, лише по бажанню співробітника державного органу (наприклад, МВС), який напише позов, закрити будь-який сайт (хоча б тимчасово). В даному випадку був заблокований хостінг (аналогічним чином можна заблокувати і домен, але у випадку з ex.ua це сталося навіть без рішення суду). І хоча через два дні суд відмінив блокування, розглянувши заяву власників сайта про неадекватність ужитих заходів, але після даного інцеденту власники “Дорожнього контролю” заявили, що перенесуть хостінг в Германію.
За повідомленням www.xakep.ru, модуль JavaSсriрt-кейлогера для Metasplot.
Нещодавно був розроблений JavaSсriрt-кейлогер для Metasplot. Американський дослідник в області безпеки Маркус Кейри говорить, що бачив багато JS-кейлогерів у реальному використанні, але все це були деякі саморобні рішення, без професійного підходу до маштабування й установки скриптів на безлічі сайтів. Тому він витратив кілька днів і написав якісний модуль JavaSсriрt-кейлогера для Metasplot.
JS-кейлогер для викрадення даних з форм аутентифікації - це більш просунутий варіант атаки, коли через XSS або Content Spoofing уразливість викрадаються дані з форми. Якщо в старих атаках викрадалися дані користувача при їх відправленні з форми, то в даному випадку викрадаються усі натискання клавіш в браузері.
В період 20.07.2011-24.07.2011, 01.11.2011-07.11.2011, 16.11.2011-20.11.2011 і 25.12.2011, відбувся новий масовий взлом сайтів на сервері Freehost. Другий масовий взлом сайтів на сервері Freehost відбувся раніше.
Був взломаний сервер української компанії Freehost. Взлом, що складався з двох великих взломів та п’яти окремих взломів по одному сайту, відбувся після згаданого масового взлому сайтів на сервері HostPro.
Всього було взломано 261 сайт на сервері української компанії Freehost (IP 178.20.153.6). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.arhioda.gov.ua, www.mykcustoms.gov.ua, www.city-izyum.gov.ua.
З зазначеного 261 сайту 105 сайтів були взломані хакерами DAVACI та SLYHACKER, 152 сайтів хакером J0K3R R3TURN, 1 сайт хакерами з 1923Turk, 1 сайт хакером sLizer, 1 сайт хакером iskorpitx та 1 сайт хакером FEnR.
Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (за виключенням окремих одиночних взломів сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.
* 
You are currently browsing the archives for the Новини category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.