Websecurity - Веб безпека

За повідомленням www.xakep.ru, навіть подвійна інфраструктура безпеки не в змозі захистити Інтернет.

Аналітики в області інформаційної безпеки попереджають, що хакери можуть почати потужні атаки, яким буде дуже складно протистояти, тому що вони будуть поєднувати в собі взлом DNS-серверів (такого типу, як атака на сайт The Register й інші відомі сайти в вересні) з підробкою цифрових сертифікатів у стилі DigiNotar.

Атака на DNS-провайдера NetNames, що відбулася на початку місяця, торкнулася безлічі відомих веб сайтів, включаючи такі сайти як Daily Telegraph, UPS, Acer, National Geographic, BetFair і Vodafone. Інтернет-серфери, що відвідали несправні сайти, були переспрямовані на сторінку, створену турецькою групою хакерів Turkguvenligi.

Про атаки через захоплення домену (Domain hijacking), що в останні роки набули поширенності, я писав в своїй статті ще в лютому. Але ні домен провайдери з дірявими сайтами, ні власники сайтів, що користуються послугами таких провайдерів, досі не звернули увагу на цю проблему.

За повідомленням www.anti-malware.ru, MySQL.com знову взломаний.

Сайт популярного рішення для керування базами даних піддався нальоту взломщиків. Хакери змогли одержати адміністративний доступ до сервера проекту і внесли несанкціоновані зміни в код сторінок ресурсу. У підсумку всі відвідувачі, що відкривали ці сторінки у своєму браузері, ризикували стати жертвою атаки шкідливого програмного забезпечення.

Це вже другий взлом mysql.com за цей рік. І якщо попереднього разу (в березні) в результаті взлому було викрадено дані з БД ресурсу, то цього разу сайт було інфіковано. Зловмисники все більше інфікують діряві сайти як в Уанеті, так і в Інтернеті в цілому. І з 2008 року, коли я писав про уразливість на сайті MySQL, їх адміни так і не почали краще слідкувати за безпекою своїх сайтів.

За повідомленням www.opennet.ru, представлено перший успішний спосіб атаки на SSL/TLS.

Тхай Дионг і Джуліано Ріццо, відомі дослідники комп’ютерної безпеки, власники премії Pwnie Awards 2011 за розробку методу компрометації додатків ASP.NET, мають намір на конференції Ekoparty 7 розкрити завісу над новим способом атаки на SSL/TLS.

Для здійснення атаки підготовлений інструментарій, що розвивається під ім’ям BEAST (Browser Exploit Against SSL/TLS) і що дозволяє організувати перехоплення переданого в рамках зашифрованого з’єднання Cookie з параметрами аутентифікації користувацької сесії. Зокрема, дослідники продемонстрували успішне перехоплення захищеної сесії для сервісу PayPal і стверджують, що метод може бути застосований і для будь-яких інших сайтів.

У вересні місяці Microsoft випустила 5 патчів. Що значно менше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 5 бюлетенів по безпеці. Що закривають 15 уразливостей в програмних продуктах компанії. Всі п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, SharePoint, Groove і Office Web Apps, Excel Viewer та Office Compatibility Pack.

Виявлена уразливість в функції PHP is_a в останніх версіях інтерпретатора.

Уразливі версії: PHP 5.3.7, PHP 5.3.8.

Змінена поведінка функції може приводити до помилок, пов’язаних з безпекою в додатках, що її використовують.

• Security issue is_a function in PHP 5.3.7+ (деталі)

За повідомленням www.xakep.ru, користувачі Go Daddy постраждали від масового взлому.

Масова атака на 445 сайтів полягала у впровадженні шкідливого редиректа у файли .htaccess. Go Daddy швидко усунули шкідливий код, щоб убезпечити своїх клієнтів і відновити повний контроль над зараженими сайтами.

Не тільки на серверах українських хостерів відбуваються масові взломи (про що я пишу регулярно), але й на серверах західних хостерів, зокрема такого великого хостінг і домен провайдера як Go Daddy.

Подібні атаки зі зміною .htaccess файлів давно відомі. Такий вид шахрайства часто є невід’ємною частиною маніпуляційних атак на пошукові системи, розроблених з метою переадресації користувачів, що знаходяться в пошуку визначеного контента.

За повідомленням hackzona.com.ua, Microsoft заснувала конкурс з розробки нових технологій комп’ютерного захисту.

Корпорація Microsoft заснувала конкурс BlueHat Prize для експертів в області комп’ютерної безпеки. Про це було оголошено на конференції Black Hat.

Майкрософт обіцяє призи за розробку інноваційних засобів протидії атакам, в ході яких задіюються уразливості, пов’язані з організацією пам’яті.

За повідомленням www.xakep.ru, DigiNotar оголосила про банкрутство.

Компанія DigiNotar, що випускала SSL-сертифікати безпеки для багатьох відомих сайтів, визнана банкрутом після масштабної хакерської атаки, у результаті якої “під удар” потрапили, як мінімум, 300 тисяч комп’ютерів в Ірані, повідомила нещодавно прес-служба материнської компанії DigiNotar VASCO.

DigiNotar допустила видачу великої кількості підроблених сертифікатів. Про що компанія більше місяця не повідомляла, аж до кінця серпня, коли був публічно опублікований один з цих сертифікатів. Але після того як інформація про інцедент стала відомою, були проведені розслідування і виявлені більше 500 підроблених SSL-сертифікатів сервісів Google, Facebook, Twitter, Skype та інших компаній. Що і призвело до відповідних наслідків для DigiNotar. У випадку Comodo наслідки були не такими жорсткими (бо і підроблених сертифікатів було значно менше).

В серпні, 02.08.2011, через два місяці після виходу Google Chrome 12, вийшов Google Chrome 13.

В браузері зроблено ряд нововведень. А також виправлено 30 помилок у безпеці, з яких 14 уразливостей позначені як небезпечні, 9 - помірні і 7 - незначні. В тому числі виправлена URL Spoofing уразливість, про яку я писав раніше.

• Релиз web-браузера Chrome 13 с исправлением 30 уязвимостей (деталі)

Виявлені численні уразливості в Microsoft SharePoint.

Уразливі продукти: Microsoft SharePoint Server 2007, SharePoint Workspace 2010, Office Groove 2007, Office Forms Server 2007, SharePoint Server 2010.

Міжсайтовий скриптінг, редирекція, впровадження коду, витік інформації.

• XEE vulnerabilities in SharePoint (MS11-074) and DotNetNuke (деталі)
• Reflected Cross Site Scripting in Microsoft SharePoint Portal (деталі)
• Insecure Redirect in Microsoft SharePoint Portal (деталі)
• Microsoft Security Bulletin MS11-074 - Important Vulnerabilities in Microsoft SharePoint Could Allow Elevation of Privilege (деталі)

В період з 09.08.2010 по 11.08.2011 відбувся масовий взлом сайтів на сервері 1GB (по 13 сайтів в 2010 і 2011 році). Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії 1GB. Взлом, що складався з серії взломів (під час яких взломувалися по одному або декілька сайтів), відбувся приблизно в той же час як і згаданий масовий взлом сайтів на сервері Freehost.

Всього було взломано 26 сайтів на сервері української компанії 1GB (IP 195.234.4.52). Це наступні сайти: www.kyivobljust.gov.ua, www.ukrprodresurs.com.ua, www.ffgn.org.ua, palar.com.ua, antares-co.com.ua, hram-krasoty.com.ua, morozovmebel.com, www.s-mobila.com.ua, www.a-e.com.ua, maximhorses.com, oberegy.lviv.ua, stroyderevo.com.ua, www.sopromat.kiev.ua, albomu.com.ua, decibel.com.ua, real-estate.ltd.ua, budka.net.ua, www.zerg.com.ua, marketzoo.com.ua, www.vorzelkurort.com.ua, kreativ.dp.ua, mykolaivka.com.ua, patatuyki.com.ua, kavaratake.com, www.artgallery-nadezhda.com.ua, www.informnk.com.ua. Серед них український державний сайт www.kyivobljust.gov.ua.

26 зазначених сайтів були взломані наступними хакерми: Ashiyane Digital Security Team, iskorpitx, Metropolis, 1923Turk, VHZ-CREW, kaMtiEz, By_aGReSiF, rkh, Hmei7, queSt, AlbanianHackersGr0up та K-E-H.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі року, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

Виявлені численні уразливості в Google Chrome.

Уразливі версії: Google Chrome 13.0 та попередні версії.

DoS, витік інформації, пошкодження пам’яті.

• chromium-browser security update (деталі)

У серпні, 18.08.2011, вийшов PHP 5.3.7, а вже через п’ять днів, 23.08.2011, вийшов PHP 5.3.8. В яких виправлено більше 90 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілки 5.3.x.

Після виходу версії 5.3.7 вияснилося, що в ній має місце уразливість - в функції crypt(). Тому розробники опублікували на сайті офіційне застереження з цього приводу і вже за добу випустили нову версію, в якій зокрема виправили дану уразливість.

Cеред секюріті покращень та виправлень в PHP 5.3.7:

• Оновлений crypt_blowfish до 1.2.
• Виправлений збій в error_log().
• Виправлений buffer overflow при довгій солі в crypt().
• Виправлений баг #54939 (File path injection уразливість в RFC1867 імені файла для завантаження).
• Виправлений stack buffer overflow в socket_connect().
• Виправлений баг #54238 (use-after-free в substr_replace()).
• Оновлений Sqlite3 до версії 3.7.7.1.
• Оновлений PCRE до версії 8.12.
• Виправлено 20 різних вибивань.

Cеред секюріті покращень та виправлень в PHP 5.3.8:

• Виправлений баг #55439 (crypt() повертав лише сіль для MD5).
• Відмінена зміна в обробці таймаутів, для відновлення поведінки PHP 5.3.6, яка призводила до того, що mysqlnd SSL з’єднання підвисали (баг #55283).

По матеріалам http://www.php.net.

30.08.2011

Виявлена можливість проведення DoS атак проти багатьох HTTP-серверів. Про DoS уразливість в Apache я вже писав нещодавно.

Уразливі продукти: Apache 1.3, Apache 2.0, Apache 2.2.

Обробка заголовків Range і Range-Request може призвести до вичерпання пам’яті.

• HTTPKiller - (Global HTTP DoS) (деталі)
• Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (деталі)
• HTTPKiller - FHTTP Kit by Xianur0 (деталі)
• Apache httpd Remote Denial of Service (memory exhaustion) (деталі)

19.09.2011

Додаткова інформація.

• Apache HTTPd Range Header Denial of Service Vulnerability (деталі)