Websecurity - Веб безпека

За повідомленням www.xakep.ru, уразливості в osCommerce дозволили взломати 5 млн. сторінок.

Атака, мішенню якої став популярний комерційний онлайн додаток, інфікувала майже 5 мільйонів сторінок скриптами, що робили спробу встановити шкідливу програму на комп’ютери відвідувачів.

Масова атака, у ході якої взламувалися сайти, що використовують непропатчені версії osCommerce - додатка для керування онлайн-магазином - тривала на прикінці липня. Атаку виявили дослідники з фірми безпеки Armorize, про веб антивірус якої я вже писав раніше.

За повідомленням hackzona.com.ua, у Німеччині відкрили центр кіберзахисту.

У Німеччині відбулася офіційна презентація нового відомства, відповідального за захист країни від хакерських атак. Як повідомляться, у четвер, 16 червня, про відкриття Національного центру кіберзахисту (Nationale Cyber-Abwehrzentrum, NCAZ) оголосив міністр внутрішніх справ країни.

За повідомленням www.xakep.ru, виявлена Ifrаme уразливість в Google App Engine.

Нещодавно індійський хакер Ethical Mohit виявив можливість вставки html-коду в сторінку Contact Desk у Google App Engine. Що дозволяла проводити Content Spoofing атаку. Ця уразливість стосується лише даного конкретного додатку, а не всієї платформи Google App Engine, але вона показує, що і в App Engine можуть бути уразливі додатки.

Зараз дана уразливість вже виправлена (чи розробниками Contact Desk, чи представниками Гугла). Але не повністю: якщо html включення вже не можливе, то все ще можливе включення тексту - Text Injection (про даний тип атак я вже розповідав торік).

Text Injection:

• включення тексту

Виявлені уразливості безпеки в Apache Tomcat.

Уразливі версії: Tomcat 5.5, Tomcat 6.0, Tomcat 7.0.

Витік інформації, підвищення привілеїв.

• Commons Daemon fails to drop capabilities (Apache Tomcat) (деталі)

Нещодавно, 16.08.2011, вийшов Mozilla Firefox 6. Нова версія браузера вийшла через два місяця після виходу Firefox 5.

Після виходу версії 5.0, Mozilla випустила одразу 6.0. При цьому підтримка гілки 5.x браузера припинена (так само як це раніше відбулося з 3.5.x і 4.0.x). Тому виправлення уразливостей в Firefox 5.0 випускатися не будуть і всім користувачам рекомендується оновити браузер до шостої версії.

Це другий випуск Firefox зроблений в рамках нового 16-тижневого циклу розробки. Одночасно з Firefox 6 також вийшли Firefox 3.6.20, Seamonkey 2.3, Thunderbird 3.1.12 і Thunderbird 6.0. Також представлена мобільна версія браузера Firefox 6 для платформи Android.

• Релиз Firefox 6.0, Firefox 6 для Android и Thunderbird 6.0 (деталі)

Виявлена можливість проведення DoS атаки проти Adobe Flash Media Server.

Уразливі версії: Adobe Flash Media Server 3.5, Flash Media Server 4.0.

Пошкодження пам’яті.

• Security update available for Adobe Flash Media Server (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, міжсайтовий доступ до даних, виконання коду.

• Internet Explorer 6, 7 and 8 Window.open race condition Vulnerability (деталі)
• Microsoft Internet Explorer XSLT SetViewSlave Remote Code Execution Vulnerability (деталі)
• (Pwn2Own) Microsoft Internet Explorer Protected Mode Bypass Vulnerability (деталі)
• Microsoft Internet Explorer 9 STYLE Object Parsing Remote Code Execution Vulnerability (деталі)
• Microsoft Security Bulletin MS11-057 - Critical Cumulative Security Update for Internet Explorer (2559049) (деталі)

За повідомленням hackzona.com.ua, експерти виявили SQL ін’єкцію нового типу.

IТ-компанія Armorize повідомляє про виявлення нового типу атак типу SQL ін’єкції, скоєних на ряд працюючих в інтернеті веб-сайтів. Експерти цієї компанії говорять, що масові випадки компрометації веб сайтів за допомогою SQL ін’єкцій, що давно стали головним болем для власників сайтів і хостинг-операторів, проте нові зразки SQL ін’єкцій складніше виявити і запобігти.

Armorize каже, що нова форма SQL ін’єкцій використовує просту форму файлообмінних мереж для проникнення в скомпрометовану мережу і проникнення у взломані сервери.

За повідомленням www.xakep.ru, експерти повідомили про саму масштабну серію хакерських атак.

Експерти компанії McAfee, що займається інформаційною безпекою, зафіксували саму масштабну в історії серію хакерских атак.

Серія взломів торкнулася 72 різні компанії, пов’язані з великими міжнародними організаціями такими як ООН і Міжнародний олімпійський комітет (МОК), а також урядовими структурами США, Канади, Тайваню, Південної Кореї і В’єтнаму. У результаті атак, що тривали від одного до 28 місяців, хакерам вдалося одержати доступ до великого обсягу конфіденційної інформації.

За повідомленням www.svobodanews.ru, хакери взломали сайт британської газети Sun.

Минулого місяця хакерська група Lulz Security, відома взломом американських урядових сайтів, взламала сайт газети The Sun - таблоїда, що належить Руперту Мердоку. Де хакери розмістили жартівливе повідомлення про Мердока.

Це черговий взлом відомого ресурсу хакерами з Lulz Security, які регулярно проводять подібні акції. Деякий час тому вони взломали сайт Sony Pictures.

Минулого місяця, 07-08.07.2011 (а також в попередні місяці), відбувся масовий взлом сайтів на сервері Goodnet. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Goodnet. Взлом відбувався багаторазово на протязі року, в тому числі майже в той же час, що і третій масовий взлом сайтів на сервері HostPro.

Всього було взломано 34 сайти на сервері хостера Goodnet (IP 91.203.146.38). Це наступні сайти: krasaua.com, www.stropuva.com.ua (двічі), wellnessworld.com.ua, wbud.net, basseinplus.com.ua, lad-ltd.te.ua, protuvsih.com.ua, kulyba.ru, spektr.in.ua, vil.org.ua, foto-print.org.ua, vanilla.zp.ua, detka.zp.ua, top-style.org.ua, agropromstal.com.ua, expert.zp.ua, ksujen.com.ua, amgu.org.ua, l-dsk.com, vetmir.kiev.ua, www.absolutplus.com.ua, bogatir.pp.ua, bratva.pp.ua, demo-test.pp.ua, income.kh.ua, isachenko.pp.ua, laptopshop.kh.ua, www.l-dsk.ru, www.school25.kiev.ua, www.zvichay.kiev.ua, group-expo.com, it-sphere.net, www.westsiders.net.

З зазначених сайтів 1 був взломаний в березні і 1 в серпні 2010 року, 3 в лютому, 2 в квітні, 9 в травні, 8 в червні, 9 в липні і 1 в серпні 2011 року. Сайти були взломані наступними хакерами: SALDIRAY і PC_MAN, The-Force, ahs-hackerz, KSG-CREW, iskorpitx, HEXB00T3R, RKH, S.V Crew та SLYHACKER.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі року, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

P.S.

Після публікації звіту я виявив ще один дефейс на даному сервері. Це сайт krasaua.com, який я додав до звіту.

Після виходу Opera 11.11, спочатку 31.05.2011 вийла версія Opera 11.50 beta, а потім 28.06.2011 вийша фінальна версія Opera 11.50.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера. А також додає багато нового функціоналу та покращень.

Серед виправлень безпеки в Opera 11.50:

• Посилена політика безпеки в декількох місцях.
• Виправлена уразливість середнього рівня ризику.
• Виправлена уразливість, що дозволяла через data URI проводити XSS атаки на непов’язані сайти.
• Виправлена уразливість зі сторінками про промилку, що могла призвести до вибивання системи.
• Виправлена велика кількість вибивань браузера. Opera традиційно (як й інші виробники браузерів) не відносить вибивання і зависання, тобто DoS в браузерах, до уразливостей, а відносить їх до “проблем стабільності”.

Зазначу, що торік я вже писав про XSS через data URI в Opera, що розробник в несерйозній манері виправив в своєму браузері.

По матеріалам http://www.opera.com.

Виявлені численні уразливості в багатьох додатках Oracle і Sun.

Уразливі продукти: Oracle 10g, Oracle 11g, Oracle Application Server 10g, PeopleSoft Enterprise HRMS 8.9, PeopleSoft Enterprise PeopleTools 8.51, Oracle E-Business Suite Release 11i та інші продукти Oracle.

Чергове щоквартальне оновлення закриває 78 уразливостей у всіх основних продуктах.

• Oracle Enterprise Manager vulnerable to XSS (metricDetail$type page) (деталі)
• Oracle Enterprise Manager vulnerable to XSS (sitemap page) (деталі)
• Oracle Enterprise Manager vulnerable to XSS (notifRuleInfo$mode page) (деталі)
• Oracle Sun GlassFish Enterprise Server Stored XSS Vulnerability - Security Advisory (деталі)
• Oracle Secure Backup validate_login Command Injection Remote Code Execution Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - July 2011 (деталі)

22.07.2011

Виявлені численні уразливості безпеки в WebKit, Apple Safari, Google Chrome.

Уразливі продукти: Apple Safari 5.0, Safari 5.1, Google Chrome 9.0, Chrome 10.0, Chrome 11.0.

Численні уразливості безпеки в WebKit і бібліотеках Apple.

• Multiple Vendor WebKit MathML Use-After-Free Vulnerability (деталі)
• Safari WebKit TIFF Use-After-Free Vulnerability (деталі)
• Multiple Vendor WebKit frameset style Heap Corruption Vulnerability (деталі)
• Apple Safari innerText Use-After-Free Vulnerability (деталі)
• Multiple Vendor WebKit SVG animVal Memory Corruption Vulnerability (деталі)
• Safari 5.1 and Safari 5.0.6 (деталі)

02.08.2011

Додаткова інформація.

• WebKit ContentEditable Inline Style Remote Code Execution Vulnerability (деталі)
• Apple Safari Rendering Object Body Detachment Remote Code Execution Vulnerability (деталі)
• Webkit setAttributes attributeChanged Remote Code Execution Vulnerability (деталі)
• Apple Safari Webkit SVG Marker Remote Code Execution Vulnerability (деталі)
• Apple Safari Webkit FrameOwner Element Remote Code Execution Vulnerability (деталі)