Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.6, Firefox 9.0, Thunderbird 3.1, Thunderbird 9.0, SeaMonkey 2.7.

Численні пошкодження пам’яті, міжсайтовий доступ, витік інформації, слабкі дозволи.

• Mozilla Foundation Security Advisory 2012-01 (деталі)
• Mozilla Foundation Security Advisory 2012-02 (деталі)
• Mozilla Foundation Security Advisory 2012-03 (деталі)
• Mozilla Foundation Security Advisory 2012-04 (деталі)
• Mozilla Foundation Security Advisory 2012-05 (деталі)
• Mozilla Foundation Security Advisory 2012-06 (деталі)
• Mozilla Foundation Security Advisory 2012-07 (деталі)
• Mozilla Foundation Security Advisory 2012-08 (деталі)
• Mozilla Foundation Security Advisory 2012-09 (деталі)

Виявлені численні уразливості безпеки в Apache.

Уразливі версії: Apache 2.2.

Витік інформації, обхід фільтрації, підвищення привілеїв, DoS.

• Apache HTTP Server 2.2.22 Released (деталі)

У січні, 10.01.2012, вийшов PHP 5.3.9, а вже у лютому, 02.02.2012, вийшов PHP 5.3.10. В яких виправлено більше 90 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілки 5.3.x.

Після виходу версії 5.3.9 Стефан Ессер виявив, що в ній має місце remote code execution уразливість, причому вона знаходиться в коді виправлення DoS уразливості, який був доданий в цій версії. Тому вже на початку лютого розробники випустили нову версію для виправлення RCE дірки.

Cеред секюріті покращень та виправлень в PHP 5.3.9:

• Додана директива max_input_vars для запобігання атакам, що базуються на колізіях хеша.
• Виправлений баг #60150 (Integer overflow при парсингу некоректного exif заголовку).

Cеред секюріті виправлень в PHP 5.3.10

• Виправлена уразливість віддаленого виконання довільного коду.

Випускати чергову версію інтерпретатора, після чого виясняти, що в ній є уразливість і швидко випускати нову версія для її виправлення - це вже траплялося з PHP раніше, зокрема в версії PHP 5.3.7. Коли вже через п’ять днів після її випуску, розробники PHP випустили версію 5.3.8, для виправлення уразливості в функції crypt(). Ці випадки вкотре показують, що розробники PHP недостатньо слідкують за безпекою, недостатньо тестують нові версії перед їх випуском і не вчаться на власних помилках.

По матеріалам http://www.php.net.

За повідомленням www.opennet.ru, виявлена критична уразливість у PHP 5.3.9, що дозволяє виконати код на сервері.

У PHP виявлена одна із самих серйозних уразливостей за час існування даної мови. Уразливість проявляється тільки в PHP 5.3.9 і дозволяє віддаленому зловмиснику виконати свій код на сервері, незалежно від того які PHP-скрипти використовуються. При успішному здійсненні атаки код буде виконаний із правами PHP-додатка, до якого відправлений спеціальний запит.

По іронії долі, уразливість пов’язанна з некоректним усуненням менш небезпечної проблеми безпеки в минулій версії PHP (про універсальний спосіб DoS-атаки я вже писав раніше). Уразливість виявлена Стефаном Ессером.

Молодець Стефан, що знайшов цю уразливість, причому CE уразливість в коді виправлення DoS уразливості. Що з однієї сторони виглядає кумедно, коли патч для однієї дірки додає нову дірку (і таке іноді трапляється). А з іншої сторони, виконання довільного коду підправивши спеціально сформований запит будь-якому PHP-скрипту - це доволі критична уразливість.

За повідомленням www.from-ua.com, хакери “поклали” сайт української міліції з помсти.

Сайт Міністерства внутрішніх справ України деякий час не працював у зв’язку з великою кількістю відвідувачів і можливими хакерськими атаками через закриття EX.UA. Про що повідомили в управлінні зв’язків із громадськістю МВС України, пообіцявши, що найближчим часом сайт відновить свою роботу.

Сайт МВС перестав працювати 31.01.2012 із-за DDoS атаки. І в даний час він все ще відкривається повільно, так як повністю атака не завершилася.

За повідомленням www.xakep.ru, VeriSign визнала факт “неодноразових проникнень” у корпоративну мережу.

Один з оплотів мережевої інфраструктури VeriSign визнав, що в 2010 в корпоративну мережу неодноразово проникали невідомі. Дуже несподівано почути подібне визнання, особливо через два роки після факту взломів. Компанія пояснює таку повільність тим, що вище керівництво нібито було сповіщено про інцидент тільки у вересні 2011 року. Уже тепер, відповідно до вимог звітності Комісії з цінних паперів США, компанія VeriSign, як і потрібно, повідомила про факт взлому в черговому квартальному звіті.

Після останніх взломів видавців SSL сертифікатів, таких як Comodo, DigiNotar, Digicert Sdn. Bhd та Gemnet, це ще один такий випадок. І якщо ці чотири компанії були взломані в 2011 році, то VeriSign був взломани ще в 2010, але лише зараз про це повідомив.

Нещодавно, 31.01.2012, вийшов Mozilla Firefox 10. Нова версія браузера вийшла майже через півтора місяця після виходу Firefox 9.

Mozilla офіційно представила реліз веб-браузера Firefox 10.0. Реліз Firefox 11 очікується через 6 тижнів, у середині березня, а Firefox 12 вийде на початку травня. Крім того, також були випущені Firefox 3.6.26, Firefox 10 for Android, Seamonkey 2.7 і Thunderbird 10.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 10 усунуто 9 уразливостей. З яких 6 критичних уразливостей, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок, а також дві уразливості з високим ступенем небезпеки та одна з помірним.

• Релиз Firefox 10 и сопутствующих проектов Mozilla (деталі)

Виявлене переповнення буфера в Suhoshin - секюріті розширенні PHP.

Уразливі версії: Suhoshin 0.9.

Переповнення буфера в коді прозорого шифрування кукі.

• Suhosin PHP Extension Transparent Cookie Encryption Stack Buffer Overflow (деталі)

У січні місяці Microsoft випустила 7 патчів. Що значно менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 8 уразливостей в програмних продуктах компанії. З них один патч закриває дві критичні уразливості, а інші шість патчів - важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, .NET Framework, Windows Media Player та бібліотеки Microsoft AntiXSS. Також була виправлена уразливість в ОС Windows, що стосується протоколів SSL/TLS, яка використовується для проведення BEAST-атаки.

Виявлена Cross-Site Scripting уразливість у бібліотеці Microsoft AntiXSS.

Уразливі версії: Microsoft AntiXSS 4.0.

Міжсайтовий скриптінг при парсінгу HTML.

• Microsoft Anti-XSS Library Bypass (деталі)
• Microsoft Security Bulletin MS12-007 - Important Vulnerability in AntiXSS Library Could Allow Information Disclosure (2607664) (деталі)

За повідомленням www.opennet.ru, оприлюднений універсальний спосіб DoS-атаки, що торкається PHP, Java, Ruby, Python і різні веб-платформи.

Наприкінці грудня, на конференції Chaos Communication Congress (28c3) у Берліні був оприлюднений новий спосіб порушення працездатності веб-сервісів, заснований на особливості реалізації структур хешів, що використовуваються для організації збереження наборів даних у представленні ключ/значення, у широкому спектрі мов програмування. Маніпулюючи даними, що використовуються в якості ключів, нападник може затративши мінімальні ресурси ініціювати виникнення передбачуваних колізій в алгоритмі хешування, вирішення яких вимагає додаткових значних процесорних ресурсів.

Доволі цікава уразливість в багатьох мовах програмування, що використовуються при створенні веб додатків. Яку деякі виробники вже почали виправляти, зокрема дана DoS була виправлена в Apache Tomcat та Microsoft .Net.

За повідомленням www.xakep.ru, підсумки року в сфері інтернет-безпеки, за версією Sophos.

Відома своїми рішеннями в області захисту інформації, а також численними уразливостями на власному сайті (які вона так і не виправила), компанія Sophos опублікувала традиційний звіт про самі актуальні загрози минулого року.

У звіті Security Threat Report 2012 відзначається, що поява на ринку популярних хакерських інструментів стало причиною різкого збільшення кількості нового шкідливого ПЗ. В якості основних тенденцій, що вплинули на ріст ринку засобів захисту даних, Sophos називає ріст кількості власників смартфонов і планшетів, що використовуються й у робітників, і в розважальних цілях, а також ріст популярності хмарних сервисів.

За повідомленням lenta.ru, xакери атакували сайт Європарламенту.

Сайт Європарламенту виявився недоступний увечері 26 січня в результаті DDoS-атаки. Атака відбулася через кілька годин після підписання Польщею Торгової угоди по боротьбі з контрафакцією (Anti-Counterfeiting Trade Agreement, ACTA), що посилює міри проти піратських сайтів.

Дану атаку приписують Anonymous. Також раніше повідомлялося, що Anonymous атакували урядові сайты Польщі в знак протесту проти ACTA.

Виявлені уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 6.0, Tomcat 7.0.

DoS, витік інформації.

• Apache Tomcat Information disclosure (деталі)