Websecurity - Веб безпека

Виявлена Cross-Site Scripting уразливість в IPB. Це persistent XSS уразливість, що дозволяє розмістити txt-файл з атакуючим html кодом на сторінках форума.

Уразливі Invision Power Board 3.0.4 та попередні версії.

IPB задає такий MIME-тип для txt файлів, що при наявності в них html коду (наприклад атакуючого коду), він виконається в браузері IE. Уразливість працює при перегляді атачмента в Internet Explorer, але не в інших браузерах. Уразливість подібна до Cross-Site Scripting в Invision Power Board, але використовуються не html, а txt файли для атаки.

• IPB v2.x up to 3.0.4 XSS vulnerability (деталі)

Зазначу, що автор advisory заявляє, що в IPB для txt файлів заданий MIME-тип application/x-dirview. При цьому в мене на форумі (на IPB 2.2.2) для txt файлів був по замовчуванню заданий MIME-тип text/plain і атака працювала. Тому рекомендація автора встановити text/plain не є ефективною (а в IPB 1.x взагалі немає можливості встановити MIME-тип) і я раджу взагалі відключити підтримку txt файлів на форумі.

25.11.2009

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.3.

Вихід з обмеженого середовища safe_mode через різні функції.

• Vulnerabilities in PHP (деталі)

10.12.2009

Додаткова інформація.

• PHP 5.3.1 open_basedir bypass (деталі)

Виявлена можливість підміни діалогового вікна в Mozilla Firefox.

Уразливі версії: Mozilla Firefox 3.x.

Можливе некоректне відображення URL запиту.

• Mozilla Firefox JavaScript Prompt Spoofing Weakness (деталі)

За повідомленням hackua.com, Служба безпеки України заблокувала роботу одного з популярних пошуковців у мережі Usenet - Newzleech. Відповідне оголошення залишили на непрацюючому сайті власники ресурсу.

Newzleech припинив працювати декілька тижнів тому. Як повідомляється, 19 листопада співробітники СБУ в Дніпропетровську вилучили сервери у найбільшого місцевого провайдера ColoCall, послугами якого користувався і Newzleech.

За офіційними даними СБУ, раніше в Дніпропетровську було порушено кримінальну справу за фактом несанкціонованого збуту і поширення інформації з обмеженим доступом одним з кабельних інтернет-провайдерів регіону.

У рамках розслідування за постановою суду СБУ провела обшуки в ColoCall. Під час огляду на серверному устаткуванні були виявлені бази даних державних установ, які містять інформацію з обмеженим доступом і є власністю держави, - більше мільйона зразків комп’ютерних програм, фонограм і відеофільмів, які поширювалися з порушенням авторських прав. Серверне устаткування, на якому розміщувалися інформаційні ресурси, було вилучене для проведення технічного дослідження і оцінки.

В результаті дій СБУ постраждали і багато інших клієнтів ColoCall, що викликало хвилю обурення і скарг до уряду. Варто зауважити, що зокрема послугами провайдера користувався один з найбільших торент-трекерів у світі Demonoid. Власники Newzleech повідомили, що планують відновити роботу ресурсу до кінця року.

P.S.

Ось так, через дії СБУ, постраждали зовсім невинні люди та їх проекти, в тому числі іноземні, що хостилися в Україні. Про які інвестиції з закордону може йти мова, коли у нас спецслужби створюють несприятливе інвестиційне середовище. З незаконними поширенням інформації з обмеженим доступом ясна річ треба боротися, але при цьому не створювати проблеми невинним людям (тобто сервери вже давно треба було перевірити і повернути).

Федеральний уряд Австралії в місцевому Національному університеті Канберрі провів у листопаді 24-годинне комп’ютерне змагання GovHack, у рамках якого кілька сотень веб-програмістів і комп’ютерних експертів повинні були “добути дані з будь-яких реально працюючих урядових серверів”.

За словами керівника оргкомітету Джона Оллсоппа, GovHack став першим подібним заходом, де атакувати дозволено не тільки деякі тестові сервери і технології, але саме працюючі системи. “Уряд розраховує зібрати за підсумками GovHack великий обсяг даних, що у майбутньому допоможе краще захистити урядові інформаційні ресурси”, - говорить він.

Оллсопп відзначив, що всі дані, що збираються, цілком конфіденційні, а хакерам, яким може вдасться проникнути в закриті системи, за вчинене нічого не загрожує. Організатори відзначають, що зібрані дані також послужать основою для майбутніх урядових систем сканування державних мереж.

По матеріалам http://ain.ua.

P.S.

Один день в році уряд Австралії дозволив місцевим хакерам перевірити безпеку власних сайтів, а на протязі 365 днів року їх сайти атакуються зовнішніми хакерами, і їм також за це нічого не загрожує . Варто було збирати і аналізувати дані всіх цих атак, що відбуваються на протязі року (а не лише під час акції).

Наприклад, в Україні уряд подібніх заходів не проводить. Але на протязі року, без жодних переживань з цього приводу, іноземні, а іноді й місцеві хакери взламують сайти державної влади.

Про взломані в цьому році gov.ua сайти я писав в своєму звіті про хакерську активність в Уанеті в 1 півріччі 2009, і про нові випадки згадаю у звіті за друге півріччя.

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

Численні переповнення буфера, ушкодження пам’яті, DoS-умови.

• PEAR Net_Traceroute: Command injection (деталі)
• PHP multiple issues (деталі)

Нещодавно Колумбійський університет провів велике дослідження, у рамках якого відбулося глобальне сканування IP-адрес. У ході дослідження з’ясувалося, що близько 21000 роутерів, веб-камер і VoIP-пристроїв цілком відкриті для віддалених атак. Адміністративний інтерфейс цих продуктів доступний усім бажаючим з будь-якої точки Інтернету і, до того ж, стандартний заводський пароль для доступу до нього не був змінений власниками.

Більше всього серед доступних роутерів у США виявилося пристроїв від Linksys. З 2729 знайдених у цьому регіоні апаратів 45% були публічно доступні і мали стандартний пароль для доступу до адміністративного інтерфейсу. На другому місці VoIP-пристрої від Polycom: 29% з 585 знайдених апаратів виявилися не захищені.

Наслідки несанкціонованого доступу до адміністративного інтерфейсу мережевого пристрою можуть бути дуже серйозними. Роутер може бути використаний для мережевих атак на інші комп’ютери, а VoIP-пристрій перепрошитий так, що буде записувати всі розмови і відправляти їх прямо зловмиснику. На базі незахищеного обладнання може бути створений ботнет, адже зовсім нещодавно багато роутерів і модемів піддалися серйозній вірусній атаці, і тепер виробники оперативно латають діри в системі захисту своїх пристроїв.

Остаточні результати дослідження такі: більше 300000 мережевих пристроїв мають вільний доступ до адміністративного інтерфейсу, хоча в переважній більшості з них стандартний пароль був змінений. Проте, фахівці з Колумбійського університету вважають, що таке обладнання уразливе перед серйозними хакерськими атаками.

По матеріалам http://www.securitylab.ru.

23.11.2009

Виявлена можливість пошкодження пам’яті в Internet Explorer.

Уразливі продукти: Internet Explorer 7 під Microsoft Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Пошкодження пам’яті при встановленні outerHTML для стилю тіла документа.

• Vulnerability in IE7 (деталі)

01.12.2009

Додаткова інформація.

• Code to mitigate IE STYLE zero-day (деталі)
• Some more details on IE STYLE zero-day (деталі)

Додаткова інформація.

• Microsoft IE 6&7 Crash Exploit (деталі)

Сьогодні, 30 листопада, у світі відзначається Computer Security Day - Міжнародний день захисту інформації. З чим вас і вітаю .

Його ціль - нагадати людям про необхідність захисту своїх комп’ютерів і інформації, що знаходиться в них. Щорічно День проводиться під визначеним девізом, що розміщується на плакати й іншу друковану продукцію, що випускається до свята. Девізом 2009 р. став слоган “Керування ризиком”.

Міжнародний день захисту інформації був оголошений Асоціацією комп’ютерного обладнання в 1988 р. Проголошуючи цей День, Асоціація хотіла нагадати усім про необхідність захисту комп’ютерної інформації і звернути увагу виробників та користувачів обладнання і програмних засобів на проблеми безпеки.

Проголошення Міжнародного дня захисту інформації саме в 1988 р. було не випадковим: саме в цей рік була зафіксована перша масова комп’ютерна епідемія - епідемія хробака Морріса, що одержав назву по імені свого творця. Саме тоді фахівці задумалися про необхідність комплексного підходу до забезпечення інформаційної безпеки. Але прототип першого комп’ютерного вірусу з’явився вже в 1983 р.

По матеріалам http://ain.ua.

Після попередніх численних уразливостех в розширеннях Mozilla Firefox, виявлені уразливості в нових розширеннях. Цього разу виявлені уразливості міжконтекстного скриптінга в розширеннях Sage та infoRSS до Firefox.

Уразливі продукти: плагіни Sage 1.4 та infoRSS 1.1 до Mozilla Firefox.

Уразливості в розширеннях дозволяють віддаленому користувачу скомпрометувати цільову систему.

• Межконтекстный скриптинг в Sage расширении к Firefox (деталі)
• Межконтекстный скриптинг в infoRSS расширении к Firefox (деталі)