Websecurity - Веб безпека

Виявлені DoS уразливості в ModSecurity.

Уразливі версії: ModSecurity 2.5.8 та попередні версії.

Декілька умов відмови в обслуговуванні.

• ModSecurity: Denial of Service (деталі)

Оператор мобільного зв’язку T-Mobile підтвердив інформацію, що невідомі злочинці викрали з корпоративних серверів абонентські листи розсилки. У компанії не уточнили, чи змогли зловмисники одержати до серверів повний доступ чи взлом торкнувся тільки доступу до листів.

Як повідомляється, днями група хакерів виклала у відкритий доступ конфігураційні файли серверів оператора. Після цього в декількох блогах з’явилися чутки про взлом найважливіших серверів T-Mobile. “У нас у наявності є конфіденційні документи, бази даних, скрипти програм із серверів, копії фінансової документації за весь цей рік”, - сказано в одному з блогів.

Через кілька днів представники T-Mobile повідомили, що по факту цих чуток почате розслідування, одночасно заявивши, що в компанії немає яких-небудь даних про взлом серверів. І от зараз оператор визнав, що взлом був і хакери викрали важливу інформацію.

“Захист персональної інформації наших клієнтів, а також забезпечення безпеки нашої мережі є для компанії вищим пріоритетом. З приводу недавнього взлому, ми можемо сказати, що хакери проникнули на сервер через веб-ресурс і встигли скопіювати частину даних, що стосувалися листів розсилки. Але завіряємо, що самі по собі ці дані не зможуть заподіяти яку-небудь шкоду клієнтам T-Mobile. Фахівці компанії продовжують розслідування і вишукують способи запобігти подібним взломам у майбутньому”, - сказано в заяві оператора.

Сторонні аналітики розходяться в оцінках наслідку даного взлому. Одні вважають, що хакери або нічого не скопіювали, або змогли щось скопіювати, але даних виявилося недостатньо. Інші аналітики вважають, що зловмисники поки вирішили притримати викрадену інформацію.

По матеріалам http://itua.info.

Виявлене пошкодження пам’яті в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Пошкодження пам’яті при відкритті файлів Adobe Director 10.

• Security Update available for Shockwave Player (деталі)
• Adobe Shockwave Player Director File Parsing Pointer Overwrite Vulnerability (деталі)

Голосний випадок, що відбувся на Yahoo, змусив деяких замислитися про небезпеку розкриття інформації сервісом мікроблогів Twitter. Адреса електронної пошти, що спливла, належала відомому британському телеведучому Джонатану Россу, порушила питання про те, наскільки складною може бути процедура видалення постів на Twitter.

Початок інциденту було покладено в перші дні тижня, коли Росс відправив особисте повідомлення іншому користувачу Twitter, у якому він вказав адресу своєї персональної електронної пошти. Однак замість того, щоб піти до цього користувача напряму, лист з’явився в загальнодоступному розділі, що скомпрометувало адресу пошти на домені BBC перед 250000 читачами блога Росса. І хоча помилкове повідомлення було незабаром вилучене, його копія виявилася доступною через пошукову систему Yahoo.

Та обставина, що подібні відомості можуть бути виявлені, піддає ризику розголошення як особисту, так і професійну інформацію, оскільки усе більше людей користуються сервісом Twitter і вдома і на робочому місці.

Незважаючи на те, що сайт дозволяє користувачам через запит до адміністрації видаляти небажані повідомлення, Грехам Клулі з Sophos стверджує, що цей процес може бути досить складним і все рівно залишить користувача уразливим на деякий час.

По матеріалам http://www.xakep.ru.

P.S.

В даному випадку мало місце використання кеша пошукових систем (в даному випадку Yahoo, але так само можна використовувати Google та інші пошуковці), щоб отримати доступ до даних, які стали доступними через вітік інформації, які вже прибрали з сайту (в даному випадку з Twitter). Я вже давно запланував написати про подібні речі статтю.

В своїй практиці я давно використовую кеші пошуковців для знаходження Information Leakage уразливостей на сайтах (коли на сайті їх вже прибрали) і вже неодноразово повідомляв власників сайтів про подібні уразливості (про які вони думали, що їх виправили і ніхто цього не побачив). А також використовую кеш Гугла для пошуку свіже похаканих сайтів (в тому числі й тих, що вже були виправлені адмінами).

Виявлена DoS уразливість в модулі Python PyCrypto.

Уразливі версії: Python PyCrypto 2.0.

Відмова при обробці ключа ARC2.

• python-pycrypto (деталі)

Виявлена DoS уразливість в Ruby.

Уразливі версії: Ruby 1.8.

Відмова на довгому рядку в BigDecimal.

• Ruby: Denial of Service (деталі)

Виявлене переповнення буфера в обробці HTTP відповідей в Google Chrome. Дана уразливість дозволяє скомпрометувати систему цільового користувача.

Уразливі версії: Google Chrome до версії 2.0.172.33.

Переповнення буфера виявлене при обробці деяких HTTP відповідей. У результаті можна виконати довільний код через спеціально оброблену HTTP відповідь, що була отримана від зловмисного HTTP сервера.

• Переполнение буфера в обработке HTTP ответов в Google Ghrome (деталі)

Інтернет Асоціація України в червні запустить проект, ціль якого - боротьба з негативними явищами в Інтернеті, зокрема з дитячою порнографією. Для цього Асоціація виділила фінансування на створення сайта і вже зареєструвала торгову марку, а протягом найближчих тижнів розраховує одержати домен першого рівня на базі цієї торгової марки - проект skarga.ua. Офіційно сайт вже відкрився в цьому місяці.

“Там люди будуть мати можливість повідомляти про знаходження потворних речей - дитячої порнографії, расової і національної нетерпимості, закликів до тероризму. На сайті буде список з цих трьох речей, - говорить виконавчий директор ІнАУ Володимир Куковський. - Ми розуміємо, що треба боротися і з іншими негативними явищами, але ці три пов’язані з насильством. Зараз ми визначили для себе ось ці три пріоритети. Ось з цим ми призиваємо боротися”.

За словами Володимира Куковського, провайдери дуже зацікавлені в тім, щоб дитячої порнографії в Інтернеті не було.

По матеріалам http://ain.com.ua.

P.S.

По-перше, на сайті наявні не три, а чотири типи скарг - окрім вищезгаданих, також є скарга стосовно закликів до повалення конституційного ладу.

По-друге, ні кіберзлочинці, ні порнографісти, ні ті хто закликає до нетерпимості, тероризму чи повалення конституційного ладу, вони не читають скарги (ні на даному, ні на інших сайтах).

По-третє, даний сайт буде зручним інструментом для кіберзлочинців, для того щоб роботи наклепи на сайти в порушенні Кримінального Кодексу (у вищенаведених правопорушеннях), для їх подальшого закриття. Про можливість подібного я писав в новинах про закриття сайтів через їх уразливості.

У червні, 18.06.2009, вийшов PHP 5.2.10. В якому виправлено більше 100 помилок, в тому числі й одна уразливість. Даний реліз направлений на покращення стабільності та безпеки гілки 5.2.x.

Cеред секюріті покращень та виправлень в PHP 5.2.10:

• Виправлений баг #48378 (exif_read_data() збій на специфічних пошкоджених .jpeg файлах).

По матеріалам http://www.php.net.

Виявлена можливість обходу захисту в Apache.

Уразливі версії: Apache 2.2.

Некоректна обробка опції IncludesNOEXEC дозволяє виконувати код через exec у включених файлах .shtml.

• [ MDVSA-2009:124 ] apache (деталі)