Websecurity - Веб безпека

Нещодавно, 14.03.2012, вийшов Mozilla Firefox 11. Нова версія браузера вийшла через півтора місяця після виходу Firefox 10.

Mozilla офіційно представила реліз веб-браузера Firefox 11. Реліз Firefox 12 очікується через 6 тижнів, на початку травня, а Firefox 13 вийде в середині червня. Крім того, також були випущені Firefox 10.0.3 і Firefox 3.6.28, а згодом і Thunderbird 11.0 та Seamonkey 2.8. А також мав вийти Firefox 11 for Android, але ця версія була пропущена через неготовність реліза.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 11.0 усунуто 11 уразливостей три з яких мають високий ступінь небезпеки, а вісім позначені як критичні, тобто можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз web-браузера Firefox 11 (деталі)

21.03.2012

Торік відбувся масовий взлом сайтів на сервері Besthosting (це був другий масовий взлом сайтів на сервері Besthosting). І в цьому році, в період 10.02.2012-06.03.2012, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів, але за звичай це дефейси невеликої кількості сайтів, а в даному випадку було дефейснуто майже в два рази більше сайтів ніж під час першого взлому.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох взломів, відбувся після згаданого масового взлому сайтів на сервері Pavlabor.

Якщо першого разу було взломано 38 сайтів, то цього разу було взломано 68 сайтів на сервері української компанії Besthosting (IP 195.248.234.34). Це наступні сайти: apartments4you.com.ua, www.sbta.com.ua, pronina.com, www.artliskin.com, podervyanska.com, www.abc-safe.com.ua, www.medregi.com, adspravka.vn.ua, gelaskins.org.ua, iphone-community.org.ua, iphoner.org.ua, css.artskins.com.ua, css.artskins.org.ua, images.artskins.com.ua, images.artskins.org.ua, js.artskins.com.ua, js.artskins.org.ua, skins.artskins.com.ua, skins.artskins.org.ua, carbidus.com, hosting.vn.ua, jboxsoftware.com, track.jboxsoftware.com, kovka.vn.ua, pizzaoftheworld.com, power-styling.com, drift.vn.ua, drifting.vn.ua, racing.vn.ua, autokeys.vn.ua, hummerclub.org.ua, powercover.vn.ua, taxi.vn.ua, www.tehnomriya.com, tehnomriya.com.ua, tehnomriya.cv.ua, tehnomriya.vn.ua, uamakler.com, forum.uamakler.com, mitsubishi-altraauto.com.ua, vpuzike.com, se-catalogue.info, byfama.com.ua, samir.com.ua, thalgo.net.ua, www.populyarnost.com.ua, 100km.org.ua, wayhome.org.ua, kovcheg.org.ua, vasilkovenergo.com, wdsdesigngroup.com, adat-group.com, artskins.org.ua, clubz.vn.ua, cragster.com, city.vn.ua, baby.vn.ua, digrido.com, wedding.vn.ua, yurist.vn.ua, remont.vn.ua, nazapchasti.com, medintegr.vn.ua, links.org.ua, landpages.vn.ua, kindle.vn.ua, kindle.org.ua, heatmap.vn.ua.

Всі 68 сайтів були взломані хакером antuwebhunt3r.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

30.08.2013

Пізніше було взломано ще 20 сайтів на цьому сервері (1 у 2012 та 19 у 2013 році). Це наступні сайти: ukrcopter.com, www.villagavan.com, kruem.com, sim-arenda.com, glavuks.gov.ua, komok.org.ua, options-trader.ru, pettyclub.com, svadbacar.com, liveinvest.ru, annluc.com, ihorus.com, pomogi.biz, karta-krima.com, www.kiev-orthodox.org, ukrdance.com.ua, mlove.com.ua, fermer.net.ua, www.uacopter.com, ocium.net.ua. Серед них український державний сайт glavuks.gov.ua.

17 зазначених сайтів були взломані хакером BADI, 1 сайт хакером Sejeal, 1 сайт хакером Hmei7 і 1 сайт хакером Rejected.

Виявлена можливість обходу обмежень через модуль Perl XML::Atom.

Уразливі продукти: XML::Atom.

Можна одержати доступ на читання до обмежених ресурсів.

• libxml-atom-perl security update (деталі)

На початку місяця, 01.03.2012, вийшов PHP 5.4.0. Вихід нової гілки PHP є значним покращенням 5.x серії, який включає багато нових функцій та виправлень багів.

Серед головних нововведень наступні: риси (traits), скорочений синтаксис масивів, вбудований веб сервер для тестування та інші. PHP 5.4.0 значно покращує швидкодію, споживання пам’яті та виправляє більше 100 багів.

По матеріалам http://www.php.net.

Минулого року 08.08.2011 та 19.12.2011, відбувся масовий взлом сайтів на сервері Pavlabor. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Pavlabor. Взлом, що складався з двох взломів (великого та невеликого), відбувся після згаданого масового взлому сайтів на сервері Freehost.

Всього було взломано 93 сайти на сервері української компанії Pavlabor (IP 194.146.180.161). Це наступні сайти: www.pga-01pcg.pavlabor.net, www.dpgn.sumy.ua, www.amuson.sumy.ua, www.poeab-lpga-01s.pavlabor.net, www.jeliba.co.uk, www.bezpekopolis.sumy.ua, www.translation-into-russian-ukrainian.net.ua, www.ddd.sumy.ua, www.lpga-01pc.pavlabor.net, www.dolphin.com.ua, www.englishmaster.kiev.ua, www.dadonov.sumy.ua, www.cea.org.ua, www.ekonomik.com.ua, www.etc.sumy.ua, www.fotoklub.com.ua, www.vodobur.sumy.ua, www.lpa-01pcg.pavlabor.net, www.veterinar.sumy.ua, www.chameleon.sumy.ua, www.zitaio.sumy.ua, www.bilbow.com.ua, www.fotokonkurs.sumy.ua, www.bania.sumy.ua, www.vivat.tv, www.tarsa.ur-kraina.com.ua, www.sumaster.com.ua, www.sumdergrybohorona.gov.ua, www.termostroy.com.ua, www.volkswagen.sumy.ua, www.sollyplus.sumy.ua, www.ssh25.sumy.ua, www.shuzo.sumy.ua, www.scelf.sumy.ua, www.s-buda.gov.ua, www.sbuda-rada.gov.ua, www.putivl-rada.gov.ua, www.prokuratura.sumy.ua, www.private-design.com.ua, www.sbn.sumy.net.ua, www.b.sumy.net.ua, www.fresh.xnet.sumy.ua, www.xnet.sumy.ua, www.forum.xnet.sumy.ua, www.test.sumy.net.ua, www.fresh.sumy.net.ua, www.lpa.pavlabor.net, www.25.school.sumy.ua, www.2.school.sumy.ua, www.manikur.sumy.ua, www.sano.sumy.ua, www.perotex.com.ua, www.greenprint.com.ua, www.delphicapital.com.ua, www.city.sumy.ua, www.arizona.net.ua, www.182.146.194.in-addr.arpa, www.183.146.194.in-addr.arpa, www.180.146.194.in-addr.arpa, www.181.146.194.in-addr.arpa, www.poeb-lpga-01.pavlabor.net, www.poeab-lpga-02m.pavlabor.net, www.poe.pavlabor.net, www.lp.pavlabor.net, www.cmz-sumy.com, www.poeab-lpga-02s.pavlabor.net, www.joomla.ot4et.com.ua, www.poeab-lpga-01m.pavlabor.net, www.evroremont.sumy.ua, www.openit17.ot4et.com.ua, www.lp-compare.pavlabor.net, www.new.ot4et.com.ua, www.opencart.manikur.sumy.ua, www.pavlabor.net, www.europa-sumy.com, www.kolchuga-lp.pavlabor.net, www.groza.pavlabor.net, www.ot4et.com.ua, www.forum.pavlabor.net, www.evropa-sumy.com, www.openit.ot4et.com.ua, www.lpau.pavlabor.net, www.manuscript.net.ua, www.works.sumy.ua, www.kapro.sumy.ua, www.medbib.zt.ua, www.krasnodon.com.ua, gorod-sumy.com.ua, uebersetzung-ins-russische-ukrainische.net.ua, www.grace.com.ua, www.jeliba.com.ua, www.photokonkurs.sumy.ua, www.ur-kraina.com.ua. Серед них українські державні сайти www.sumdergrybohorona.gov.ua, www.s-buda.gov.ua, www.sbuda-rada.gov.ua, www.putivl-rada.gov.ua.

З зазначених 93 сайтів 92 сайти були взломані хакером DEATH_K1NG та 1 сайт хакерами з RHK.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (за виключенням окремого взлому одного сайта). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлена можливість витоку інформації в nginx.

Уразливі версії: nginx 1.0.

Некоректна відповідь від сервера може приводити до витоку вмісту пам’яті.

• nginx fix for malformed HTTP responses from upstream servers (деталі)

За повідомленням www.xakep.ru, у Sony вкрали файлів на 253 мільйона доларів.

Черговий взлом корпоративної мережі компанії Sony. Цього разу облікові записи користувачів залишилися в недоторканності, зате загублена коштовна власність - зловмисникам удалося одержати нелегальний доступ і скопіювати більш 50000 музичних записів, у тому числі дуже коштовні і рідкі записи Майкла Джексона. Власне, ці записи і являють собою головну цінність. Загальна вартість украдених файлів оцінюється приблизно в $253 млн.

За наявною інформацією крадіжка файлів відбулася незабаром після відомого взлому корпоративної мережі Sony PlayStation Network у квітні минулого року. Нагадаю, що торік відбулося два гучних інциденти пов’язаних з даною корпораціює: Anonymous взломали Sony PlayStation Network, а Lulz Security взломали сайт Sony Pictures.

За повідомленням bugtraq.ru, анонімний тінейджер з російським студентом вибралися з гуглівської пісочниці.

На початку березня Google Chrome був взломаний на конкурсах Pwnium і Pwn2Own. Два рази в рамках Pwnium і один раз в рамках Pwn2Own. Що наочно демонструє дірявість даного браузера.

Цього року Google вирішила не спонсувати черговий конкурс Pwn2Own, виявивши, що правила дозволяють учасникам ховати від виробників виявлені уразливості. Замість цього був оголошений паралельний конкурс Pwnium.

Перші $60000 узяв російський студент Сергій Глазунов - як я і передбачав після оголошення конкрусу Pwnium - дві уразливості якого дозволили обійти пісочницю Chrome, в якості демонстрації запустивши калькулятор на цільовій машині. Аналогічних результатів у рамках Pwn2Own домоглася команда VUPEN, що відмовилася відкрити використані уразливості. Команда VUPEN і стала переможцем на Pwn2Own. І незадовго до закінчення конкурсу деякий тінейджер, під псевдонімом Pinkie Pie, представив свій комплект із трьох уразливостей, що також дозволили вибратися з хромовської пісочниці і виконати довільний код.

За повідомленням www.xakep.ru, чи потрібний HTTPS як стандарт для всіх сайтів.

Повсюдне поширення безкоштовного Wi-Fi дозволило зловмисникам красти ідентифікаційні дані прямо під час використання бездротових мереж. Для вирішення цього питання вимагаються серйозні зміни прийнятих веб-стандартів, вважає Джефф Атвуд, автор популярного блога Coding Horror.

Більшість відомих сайтів вирішують цю проблему чи за рахунок зашифрованого HTTPS-трафіка для всіх залогінених користувачів, чи надаючи його як опцію. Наприклад, Twitter перейшов на HTTPS за замовчуванням деякий час тому, а Gmail зробив це ще в січні 2010 року.

Зазначу, що не всі сайти потребують SSL для доступу до них (наприклад, сайти, що не мають акаунтів користувачів), тому немає потреби всім сайтам використовувати HTTPS. А ось тим сайтам, які мають в цьому потребу, їм варто звернути на це увагу.

05.02.2012

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle E-Business Suite 11.5, Oracle 10g, Oracle 11g, MySQL 5.0, MySQL 5.1, Oracle Application Server 10g, WebLogic Server 9.2, WebLogic Server 10.0, PeopleSoft Enterprise CRM 8.9 та інші продукти Oracle.

Близько 80 уразливостей у різних продуктах усунуто в щоквартальному оновленні.

• Oracle Outside In OOXML Relationship Tag Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - January 2012 (деталі)

09.03.2012

Додаткова інформація.

• Oracle JD Edwards JDENET Arbitrary File Write (деталі)
• Oracle JD Edwards Security Kernel Remote Password Disclosure (деталі)
• Oracle JD Edwards SawKernel Arbitrary File Read (деталі)
• Oracle JD Edwards SawKernel GET_INI Information Disclosure (деталі)
• Oracle JD Edwards JDENET Multiple Information Disclosure (деталі)
• Oracle JD Edwards JDENET Large Packets Denial of Service (деталі)
• Oracle JD Edwards SawKernel SET_INI Configuration Modification (деталі)
• Oracle JD Edwards Security Kernel Information Disclosure (деталі)

Виявлена можливість виконання коду в PHP.

Уразливі версії: PHP 5.2.

Проблема з очищенням filter_globals за певних умов.

• PHP 5.2.x Remote Code Execution Vulnerability (деталі)

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Переповнення буфера, численні пошкодження пам’яті.

• Adobe Shockwave Player Parsing cupt atom heap overflow (деталі)
• Adobe Shockwave Player Parsing block_cout memory corruption vulnerability (деталі)
• Security update available for Adobe Shockwave Player (деталі)