Websecurity - Веб безпека

За повідомленням hackzona.com.ua, знайдена вразливість на сайтах з OpenID.

Дослідники у сфері безпеки виявили збій в системі аутентифікації на деяких сайтах, що використовують систему OpenID, який міг призвести до крадіжки особистості.

Наявність даної уразливості в системі OpenID не викликає подиву, враховуючи що раніше я вже знаходив дірки на сайті openid.net, як я вже писав.

За повідомленням www.xssed.com, MasterCard and Visa sites bitten by XSS bugs.

В 2010 році Cross-Site Scripting уразливості були виявлені на сайтах MasterCard і Visa. Скріншоти роботи даних XSS наводяться.

І потім ці компанії ще запроваджують стандарти безпеки, такі як PCI DSS, а також власні секюріті логотипи. При тому, що самі за безпекою не слідкують.

За повідомленням www.xakep.ru, дослідник різко критикує Microsoft за неправдиву статистику про блокування шкідливих програм в IE9.

“Microsoft заявляє, що Internet Explorer 9 блокує атаки. Але вони видають лише половину цього рівняння”, - сказав Чет Вишневскі, дослідник інформаційної безпеки британського розробника Sophos. “Оперуючи купою цифр “для більшої науковості”, вони породжують більше питань, ніж відповідей”.

Виявлені уразливості безпеки в Python.

Уразливі версії: Python 2.5, Python 2.6, Python 3.0.

Витік вихідних кодів у CGIHTTPServer, доступ до локальних файлів в urllib.

• Vulnerabilities in Python (деталі)

Виявлені численні уразливості безпеки в Ruby.

Уразливі версії: Ruby 1.8.

Міжсайтовий скриптінг, підвищення привілеїв, модифікація даних через метод Exception#to_s, пошкодження пам’яті через VpMemAlloc.

• Vulnerabilities in Ruby (деталі)

На початку травня, 03-04.05.2011, відбувся новий масовий взлом сайтів на сервері Hvosting. Перший масовий взлом сайтів на сервері Hvosting вібдувася в січні.

Був взломаний сервер української компанії Hvosting. Взлом відбувся після згаданого масового взлому сайтів на сервері Tavrida Network.

Всього було взломано 23 сайти на сервері Hvosting (IP 91.200.40.52). Це наступні сайти: ukraids.gov.ua, new.comrad.net.ua, khortytsalife.com, uca.zp.ua, tattoo.zp.ua, reabilitolog.com.ua, www.novsemena.zp.ua, matras.zp.ua, map.khortytsalife.com, ligasockiev.org.ua, ligasocial.org.ua, kvest.zp.ua, iok.zp.ua, grandmax.zp.ua, elos.zp.ua, elit-mebel.zp.ua, comrad.zp.ua, caffenitea.com.ua, baida.zp.ua, www.autoshrot.zp.ua, artremstroy.com.ua, alexandria-f.com.ua, www.estil.com.ua. Серед них український державний сайт ukraids.gov.ua.

З зазначених сайтів 1 був взломаний 3 травня 2011 року хакером iskorpitx, а 22 сайти були взломані 4 травня 2011 року хакером S3Ri0uS.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлене переповнення буфера в Embarcadero Interbase.

Уразливі версії: Embarcadero InterBase XE 10.0.

Переповнення буфера в області стека при обробці запиту connect.

• Embarcadero Interbase connect Request Parsing Remote Code Execution Vulnerability (деталі)

В травні місяці Microsoft випустила 2 патчі. Що значно менше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 2 бюлетені по безпеці. Що закривають 3 уразливості в програмних продуктах компанії. Зокрема один патч закриває критичну уразливість, а інший патч виправляє дві важливі уразливості.

Дані патчі стосуються серверних операційних систем компанії Microsoft (Windows 2003, 2008 та 2008 R2) та PowerPoint, що входить до складу Microsoft Office. А також компанія оновила свій Exploitability Index (індекс ризиків).

Виявлена можливість проведення DoS атаки проти бібліотеки APR і Apache mod_autoindex.

Уразливі продукти: Apache APR 1.4, Apache HTTP Server 2.2.

Вичерпання ресурсів процесора на довгих іменах.

• Vulnerability in apr (деталі)
• Multiple Vendors libc/fnmatch(3) DoS (incl apache poc) (деталі)
• apr security update (деталі)

13.05.2011

Виявлені численні уразливості безпеки в Perl.

Уразливі версії: Perl 5.11, Perl 5.12, Perl 5.13.

Впровадження даних і обхід захисту в модулі CGI і функціях lc, lcfirst, uc, ucfirst.

• Perl vulnerabilities (деталі)

23.05.2011

Додаткова інформація.

• Vulnerability in perl-IO-Socket-SSL (деталі)

За повідомленням hackzona.com.ua, US CERT попереджає про уразливість в технології WebGL.

Група US CERT нещодавно випустила рекомендацію для користувачів браузерів Firefox та Chrome, згідно з якою недавно додані в дані браузери функції апаратного рендеринга графіки краще відключити. Так як вони можуть бути використані для отримання несанкціонованого контролю над комп’ютером.

За повідомленням www.xakep.ru, більшість додатків як і раніше містить уразливості зі списку OWASP Top 10.

Розробники веб додатків як і раніше роблять фундаментальні помилки в програмуванні, що дозволяють хакерам з легкістю використовувати SQL ін’єкції і робити атаки на основі міжсайтового скриптінга, говорить нове дослідження, проведене фірмою по забезпеченню безпеки додатків Veracode.

За повідомленням hackzona.com.ua, хакери зламали систему безпеки Google Chrome.

Фахівцям з французької компанії Vupen Security, що займається мережевою безпекою, вдалося взломати браузер Google Chrome. Білим хакерам вдалося вибратися з вбудованої в інтернет-оглядач “пісочниці” (безпечного середовища, що ускладнює проникнення шкідливого коду), а також обійти інтегровану систему захисту в операційній системі Microsoft Windows 7.

15.03.2011

Виявлена можливість обходу захисту в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0.

Ігноруються параметри @ServletSecurity.

• Apache Tomcat security constraint bypass (деталі)

20.05.2011

Додаткова інформація.

• Apache Tomcat security constraint bypass (деталі)