Websecurity - Веб безпека

Виявлена можливість витоку інформації в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0.

За певних умов дані можуть бути відправлені не тому клієнту.

• Apache Tomcat information disclosure (деталі)

За повідомленням hackzona.com.ua, Facebook змінює паролі користувачам з підключеним обліковим записом Hotmail.

Сервіс Facebook ініціював процес оновлення паролів користувачів, що підключили свої профілі до облікових записів Hotmail. Турецький дослідник інформаційної безпеки Серкан Генсел виявив уразливість, яка дозволяє зловмисникам отримувати паролі сторінок Facebook з підключеними обліковими записами Hotmail.

За повідомленням www.xakep.ru, хакери одержали повний доступ до серверів WordPress.com.

Позавчора стало відомо, що деякі хакери одержали root-доступ до серверів компанії Automattic, що володіє блог-хостінгом WordPress.com. За повідомленням компанії, дані VIP-кліентів також були доступні хакерам, включаючи вихідні коди сайтів. У такий спосіб крім внутрішніх документів і публікацій, хакерам стали доступні паролі й авторизаційні ключі від різних служб і акаунтів, що використовуються для інтеграції сайтів із соціальними мережами (такими, як Facebook чи Twitter), хмарними сервісами збереження й обробки даних (наприклад, Amazon S3), а також, не виключено, що приватні ключі SSL сертифікатів.

В минулому місяці, як я вже писав, на сервери WordPress.com проводилася масштабна DDoS атака. А вже в цьому місяці їх сервер взломали.

За повідомленням www.opennet.ru, Mozilla розглядає можливість випуску в 2011 році релизів Firefox 4, 5, 6 і 7.

Розробники проекту Mozilla опублікували попередній варіант плану розвитку Firefox у 2011 році. Однією з найбільш цікавих пропозицій, озвучених у плані, є істотне скорочення циклу підготовки значних релізів Firefox, що дозволить випустити протягом 2011 року релізи Firefox 4, 5, 6 і 7. Браузер Firefox 4 вже вийшов, про що я згодом напишу більш детально.

Це Mozilla вирішила взяти приклад з Google, що швидкими темпами випускає свій браузер (в минулому місяці вийшов Сhrome 10).

В минулому місяці, 15.03.2011, компанія Microsoft випустила фінальну версію браузера Internet Explorer 9. Вихід нової версії відбувся через два роки після виходу IE8.

Розповім детальніше про IE9 та його покращення в плані безпеки.

Нові можливості інтерфейсу IE9 включають:

• Минималистичный інтерфейс заощаджує місце на екрані, дозволяючи бачити сайт, а не панелі браузера.
• Інтелектуальний адресний рядок з функцією One Box - це єдине поле для переходу до конкретного сайту чи для пошуку.
• Користувач може розміщати вкладки на одній панелі разом з адресним рядком, а може переносити їх на окремий рядок, забезпечуючи більше місця відкритим вкладкам.
• З функцією закріплення сайтів на панелі задач на улюблені сторінки можна зайти одним кликом, не відкриваючи попереднє вікно браузера.
• Списки переходів надають простий і швидкий спосіб переходу до окремої задачі веб-сайта, будь те створення поштового повідомлення, перевірка вхідних листів чи публікація коментарю.
• Поліпшена навігація по вкладках з функцією Windows Aero Snap.
• Розширена підтримка стандартів HTML5, SVG, CSS3, ECMAScript 5 і DOM.

Серед нових можливостей браузера для забезпечення безпеки та приватності в Мережі:

• На додаток до функцій InPrivate Browsing та InPrivate Filtering, доступним ще в Internet Explorer 8, Internet Explorer 9 підсилює захист конфіденційної інформації за допомогою технології “Захист від спостереження” (Tracking Protection). Завдяки їй користувач може вказувати, які дані про нього можуть бути передані сторонніми сайтам.
• Функція Hang Recovery. Нова можливість Internet Explorer 9 служить для обмеження наслідків зависання вкладки: якщо одна з вкладок перестає відповідати, інші вкладки і весь браузер продовжують роботу.
• Функція ActiveX Filtering. Технологія ActiveX дозволяє розробникам додатків створювати інтерактивний контент сайтів, але так само може становити небезпеку для користувацьких даних. Internet Explorer 9 дозволяє заблокувати можливості ActiveX для всіх сайтов, за винятком перевірених.
• Перегляд у режимі сумісності. Якщо браузер виявляє веб сайт, на якому не зазначений кращий режим відображення, в адресному рядку відображається кнопка перегляду в режимі сумісності.
• Автоматичне оновлення браузера.
• Підтримка групової політики.

По матеріалам http://www.thg.ru.

В березні, 09.03.2011, через місяць після виходу Google Chrome 9.0, вийшов Google Chrome 10.

Основні нововведення в даній версії:

• Оновлення JavaScript-движка V8, у нову версію якого додана нова підсистема JIT-компіляції.
• Підтримка використання GPU-акселерації при програванні відео.
• У сервісі синхронізації параметрів браузера між комп’ютерами за замовчуванням активована підтримка синхронізації збережених паролів до сайтів.
• Цілком перероблений інтерфейс настроювання параметрів браузера.
• Підтримка фонового виконання web-додатків (Background WebApps).
• Новий API для створення розширень для web-навігації (webNavigation API).
• Посилення безпеки: застарілі плагіни тепер за замовчуванням автоматично блокуються. Розширено можливості по повідомленню користувача про наявність шкідливого коду на сторінках. На платформі Windows Flash-плагін відтепер виконується в ізольованому оточенні.

Також виправлені 23 помилки у безпеці, з яких 15 уразливостей позначені як небезпечні, 3 - помірні і 5 - незначні.

• Релиз web-браузера Chrome 10 (деталі)

У березні, 17.03.2011, вийшов PHP 5.3.6. В якому виправлено більше 60 помилок, в тому числі й чимало уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.6:

• Посилена безпека в парсінгу fastcgi протоколу з fpm SAPI.
• Виправлений баг #54247 (format-string уразливість в Phar).
• Виправлений баг #54193 (Integer overflow в shmop_read()).
• Виправлений баг #54055 (buffer overrun з високими значеннями для precision ini налаштування).
• Виправлений баг #54002 (вибивання на спеціальному тезі в exif).
• Виправлений баг #53885 (вибивання в ZipArchive з FL_UNCHANGED на пустих архівах).
• Оновлений PCRE до версії 8.11.
• Виправлений баг #53577 (регресія, що була введена в 5.3.4 в open_basedir з завершальним слешем).

По матеріалам http://www.php.net.

За повідомленням hackzona.com.ua, критична вразливість в Adobe Flash Player.

В березні компанія Adobe випустила бюлетень безпеки, що повідомляє про уразливість нульового дня в Adobe Flash Player. Уразливість експлуатувалася шляхом впровадження спеціально сформованого Adobe Flash файлу (swf) в документ Microsoft Excel.

За повідомленням www.xakep.ru, Google закрила XSS уразливість в Android Market, яка могла привести до перемоги в Pwn2Own.

Уразливість, що дослідники планували використовувати для взлому мобільних телефонів Android на хакерському змаганні в березні, була закрита після того, як компанія Google усунула відповідну дірку в Android Market. І виправила вона цю уразливість напередодні Pwn2Own.

За повідомленням bugtraq.ru, MySQL.com взломали через SQL Injection.

Румунські взломщики взяли на себе відповідальність за нещодавній взлом mysql.com, що був проведений за допомогою найпростішого SQL Injection. Вони дістали імена користувачів і хеші паролів, що негайно виклали у відкритий доступ (а найпростіші відразу підібрали).

В 2008 році я вже писав про XSS уразливість на сайті MySQL. З тих пір вони так і не почали краще слідкувати за безпекою своїх сайтів.

Виявлена можливість віддаленого виконання коду в Zend Server.

Уразливі продукти: Zend Server.

Можливе виконання довільного коду через службу Java Bridge (TCP/10001).

• Zend Server Java Bridge Design Flaw Remote Code Execution Vulnerability (деталі)

Минулої осені відбувся масовий взлом сайтів на сервері Укртелекому (в Utel DataCenter). На протязі жовтня-листопада, а також по одному сайту в червні, липні та грудні 2010 року. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Укртелеком. Взлом відбувся частково до, а частково після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 427 сайтів на сервері Укртелекому (IP 213.186.117.200). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти ukrreftrans.gov.ua та www.kyivobljust.gov.ua.

Зазначені сайти були взломані в період з 16.06.2010 по 10.12.2010. Дефейси 427 сайтів проведено різними хакерами. Окрім цього було взломано 2 сайти в 2008 і 7 сайтів в 2009 роках (в сумі 436 сайтів).

Більшість сайтів була задефейсена під час декількох масових взломів. Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлене переповнення буфера в pam-pgsql.

Уразливі версії: pam-pgsql 0.7.

Переповнення буфера можливе через IP-адресу.

• pam-pgsql security update (деталі)

Виявлена можливість підвищення привілеїв у модулі mpm_itk для веб сервера Apache.

Уразливі продукти: mpm-itk 2.2.

При певному сполученні умов запит обробляється з підвищеними привілеями.

• apache2 security update (деталі)