Websecurity - Веб безпека

Ще до виходу PHP 5.2.11 у вересні, вийшов PHP 5.3. Вихід нової гілки PHP відбувся 30.06.2009 і даний реліз є значним покращенням 5.x серії.

А вже у листопаді, 19.11.2009, вийшов PHP 5.3.1. В якому виправлено більше 100 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.1:

• Додана “max_file_uploads” INI директива, що може бути задана для обмеження кількості завантажень файлів для кожного запиту до 20 по замовчуванню, для запобігання можливій DOS через вичерпання тимчасових файлів.
• Додані пропущені перевірки навколо обробки exif.
• Виправлений обхід safe_mode в tempnam().
• Виправлений обхід open_basedir в posix_mkfifo().
• Виправлений слабий safe_mode_include_dir.

По матеріалам http://www.php.net.

В грудні місяці Microsoft випустила 6 патчів. Так само як і у листопаді.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 6 бюлетенів, що закривають 12 уразливостей в операційних системах сімейства Windows, пакеті Microsoft Office і веб-браузері Internet Explorer. Сім уразливостей розцінені як “критичні”, чотири уразливості позначені як “важливі” і одна як “середня”.

Незалежні експерти по інформаційній безпеці рекомендують користувачам звернути найбільшу увагу на оновлення для Internet Explorer 6, 7 і 8, що включає в себе п’ять патчів, посилаючись на те, що атаки зловмисників найчастіше відбуваються саме через веб-браузери. Три з п’яти патчів для IE торкаються IE8, причому два з них - тільки IE8.

По матеріалам http://www.cnews.ru.

Цікавий випадок атаки на веб сайти нещодавно стався у президента ПМР Ігоря Смирнова. Співробітники придністровського МВС повідомляють, що днями була зроблена крадіжка 4-х системних блоків, що виконували роль серверів сайтів Президента і МВС невизнаної Придністровської Молдавської республіки.

Злодії винесли системні блоки з офісу компанії-провайдера “Моніторинг”, тим самим завдали шкоди на загальну суму $2800. Саме дивне те, що в приміщення злодії проникнули через залишену відкритою кватирку.

По даному факту порушена кримінальна справа. Через крадіжку серверів обидва сайти були недоступні кілька днів.

По матеріалам http://itua.info.

Як повідомляється на сайті системи LiqPAY, сьогодні їх сайт liqpay.com разом з amazon.com активно протидіє проти DDoS атаки. В зв’язку з чим в них наявні проблеми з сервісом і деякі регіони заблоковані.

Раніше я вже розповідав про DDoS атаки на обмінники електронних валют, цього разу мала місце DDoS атака на цілу електрону платіжну систему.

Я сам користуюся даною системою для проведення обміну WebMoney <-> LiqPAY та виводу WebMoney <-> Visa, тому сам стикнувся з цією атакою на сайт системи (причому з обома хвилями атаки). І на собі відчув проблеми з роботою системи. Зазначу, що в мене одразу виникли підозри, що це може буди саме DDoS, бо сайт не працював тривалий час.

DDoS атака була достатньо потужною (обидві хвилі) - сайт дуже швидко переставав відповідати. Вона відбувалася десь з 23-00 21.12.2009 до 14-00 22.12.2009, це була перша хвиля. А потім розпочалась друга хвиля атаки - десь з 20-00 і аж до ранку 23.12.2009. Цілком вірогідно, що дана атака організована конкурентами.

Нещодавно, 15.12.2009, вийшла Invision Power Board 3.0.5. В даній версії виправлені уразливості, зокрема XSS, LFI та SQL Injection, а також знайдені мною Cross-Site Scripting уразливості в IPB.

• Форум Invision Power Board (IP.Board) 3.0.5 (деталі)

Компанія ІBResource повідомляє про вихід російської версії IP.Board 3.0.5 (IPB). Ця версія включає виправлення уразливостей, а також багатьох помилок і поліпшення швидкості роботи форуму.

Про кіберепідемію, що швидко поширюється і уражає сайти, попереджають фахівці ScanSafe. На заражених ресурсах можна підхопити шкідливу програму, що впроваджується на комп’ютер користувача.

Перші ознаки цієї кіберінфекції були зафіксовані ScanSafe наприкінці осені, а тепер темпи її поширення істотно зросли. Усього за пару днів кількість заражених сайтів збільшилася на 15 тисяч.

Як повідомляє Google, зараз в Інтернеті нараховується близько 136 тисяч сайтів, у коді сторінок яких захований цей небезпечний скрипт. У той же час Yahoo! приводить набагато більші цифри, повідомляючи про більш ніж 300 тисяч інфікованих цією заразою сайтів.

У ScanSafe не дають докладних коментарів про процес зараження, відзначаючи лише те, що відбувається це у вигляді SQL-ін’єкції, і більше всього уражено китайських ресурсів і веб сайтів із зони .com.

Слід зазначити, що, незважаючи на активне поширення шкідливого скрипта, спосіб зараження комп’ютерів з ОС Windows досить простий. Кіберінфекція завантажується через один-єдиний домен 318x.com, хоча для цього і використовуються приховані iframe і декілька редиректів. Утім, це дуже розповсюджена практика.

Проникнувши в систему, шкідливий код завантажує бекдор сімейства Buzus. Який, як правило, використовується для одержання даних банківських карт та інших видів шахрайства, що стосуються банківських операцій.

По матеріалам http://itua.info.

Виявлені численні уразливості безпеки в Mozilla Firefox і SeaMonkey.

Уразливі продукти: Mozilla Firefox 3.0, Firefox 3.5, SeaMonkey 2.0.

Численні пошкодження пам’яті при розборі HTML і медіа-форматів, атаки NTLM-релеїнга, підміна адреси, підвищення привілеїв, витік інформації.

• Mozilla Foundation Security Advisory 2009-65 (деталі)
• Mozilla Foundation Security Advisory 2009-66 (деталі)
• Mozilla Foundation Security Advisory 2009-67 (деталі)
• Mozilla Foundation Security Advisory 2009-68 (деталі)
• Mozilla Foundation Security Advisory 2009-69 (деталі)
• Mozilla Foundation Security Advisory 2009-70 (деталі)
• Mozilla Foundation Security Advisory 2009-71 (деталі)

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 10.0, AIR 1.5.

Переповнення буфера при розборі JPEG, цілочисленне переповнення при виконанні ActionScript.

• Adobe Flash Player ActionScript Exception Handler Integer Overflow Vulnerability (деталі)
• Adobe Flash Player ActionScript Exception Handler Integer Overflow Vulnerability (деталі)
• Adobe Flash Player JPEG Parsing Heap Overflow Vulnerability (деталі)

Корпорація IBM планує придбати ізраїльський стартап Guardium за $225 мільйонів, що займається випуском спеціалізованого програмного забезпечення для захисту баз даних.

За допомогою розробок купленої компанії бізнес-користувачі можуть більш широко надавати доступ до своїх баз даних клієнтам, партнерам і стороннім контрагентам, у той же час ключові відомості в базах можуть бути надійно закриті.

Компанія Guardium утворена в Ізраїлі в 2002 р., а в 2003 р. вона переїхала в американський Бостон. На сьогодні в Guardium працює трохи більш 60 чоловік, і всі вони одержать свій відсоток від прибутку з продажу. Guardium була створена по більшій частині на гроші інвесторів, зокрема компаній Ascent Venture Partners і Cisco Systems. Крім того, Guardium має в Ізраїлі дочірнє підприємство Log-On Software, що також увійде до складу IBM.

По матеріалам http://ain.ua.

P.S.

Даний випадок демонструє активний стан справ в секторі безпеки. І що у IBM, незважаючи ні на яку фінансову кризу, достатньо коштів для купівлі інших компаній, причому щороку (хоча не вистачає коштів на безпеку власних сайтів).

Тим самим IBM намагається предстати серйозним секюріті гравцем. І це при тому, що у самої сайти діряві, і купівля інших компаній аж ніяк не допомагає їй покращити власну безпеку.

В цьому місяці, окрім XSS уразливості та знайдених мною XSS уразливостей, в IPB також були знайдені інші уразливості.

Зокрема були виявлені Local File Inclusion та SQL Injection уразливості в Invision Power Board. LFI дозволяє інклюдити php-файли на сервері та працює лише на 3.0.x версіях IPB, а SQL Injection працює в 2.x та 3.0.x версіях движка.

Уразливі Invision Power Board 3.0.4 та попередні версії.

• Invision Power Board 3.0.4 Local PHP File Inclusion and SQL Injection (деталі)

В даному advisory також наводяться патчі для IPB 2.3.6 та 3.0.4.