Websecurity - Веб безпека

Виявлені численні уразливості в PCRE, що дозволяють віддаленому користувачу одержати доступ до важливих даних, викликати відмову в обслуговуванні та скомпрометувати цільову систему.

Уразливі версії: PCRE версії до 7.3.

1. Уразливість існує через помилку при обробці “\Q\E” послідовностей з відділеними (orphan) “\E” кодами. Зловмисник може розсинхронизувати скомпільоване регулярне вираження і виконати ушкоджені байт-коди.

2. Уразливість існує через помилку при обробці різних класів символів. Зловмисник може змусити додаток звернутися до неіснуючої ячейки пам’яті і викликати відмову в обслуговуванні.

3. Уразливість існує через помилку при обробці різних “\X?\d” і “\P{L}?\d” шаблонів у відмінному від UTF-8 режимі. Зловмисник може викликати відмову в обслуговуванні процесу чи одержати доступ до деяких даних.

4. Уразливість існує через помилку при пошуку лапок чи круглих дужок. Зловмисник може за допомогою спеціально сформованого рядка аварійно завершити роботу додатка.

5. Цілочислені переповнення буфера виявлені при обробці escape-символів. Віддалений користувач може викликати ушкодження динамічної пам’яті й аварійно завершити роботу додатка чи виконати довільний код на цільовій системі.

6. Уразливість існує через помилку при обробці “\P” і “\P{x}” послідовностей. Зловмисник може викликати зациклення додатка чи переповнення динамічної пам’яті і скомпрометувати цільову систему.

7. Уразливість існує через помилку в оптимізації класу символів, що містить одиночну Unicode послідовність. Зловмисник може викликати переповнення динамічної пам’яті і виконати довільний код на цільовій системі.

• Множественные уязвимости в PCRE (деталі)

В минулому році компанія Cenzic представила десятку основних уразливостей веб-додатків в I кварталі в “Доповіді про тенденції безпеки додатків”. Документ визначає 1561 уразливість у відомих комерційних і відкритих додатках. Ситуація ж з доморощеними розробками обстоїть набагато гірше, оскільки в них уразливостей більше, ніж у масових продуктах.

Найбільш розповсюдженими уразливостями виявилися вкладення файлів, SQL-ін’єкції, міжсайтові сценарії (XSS) і обхід директорій - 63%. Більшість уразливостей знайдено у веб-серверах, веб-додатках і веб-браузерах.

На першому місці десятки уразливостей стоїть Adobe Acrobat Reader - у ньому можливі атаки міжсайтових сценаріїв і віддалене виконання довільного коду.

Друге місце займає Google Desktop: ряд уразливостей дозволяє здійснити XSS і одержати доступ до даних на комп’ютері користувача.

IBM Websphere, на третім місці, уразливий до атак “розбивки HTTP відповідей”, що приводять до впровадження стороннього коду в кеші, підстановці контента чи XSS.

Lotus Domino Web Access стоїть на четвертому місці: функція Active Content Filter не справляється з відфільтровуванням коду сценаріїв, переданих користувачем усередині електронного листа. Ці сценарії виконуються в поштовому клієнті одержувача.

П’яте місце - за PHP: відмова в обслуговуванні вкладених масивів. Помилка при рекурсивному обході масивів дозволяє здійснити DoS-атаку на пакет PHP, що приводить до аварії на сервері.

Шосте також дісталося PHP: ряд уразливостей типу переповнення буфера, що дозволяють виконати віддалено код і приводять до DoS-атак.

Наступним, сьомим у списку, йде IBM Rational ClearQuest Web 7.0.0.0: XSS-уразливість у продукті дозволяє вбудувати довільний сценарій через вкладення з метою внесення дефектів у записі журналу подій.

На восьмому місці розташувався Sun Java Access Manager: ряд уразливостей XSS, можливість підвищення привілеїв за рахунок викрадення cookies з даними про сесії і різні способи підстановки чужорідного веб-контента.

Apache Tomcat зайняв дев’яте місце: переповнення буфера в Apache Tomcat JK Web Server Connector дозволяє виконати довільний код на сервері.

Замикає десятку BEA WebLogic: переповнення буфера, віддалене виконання коду, відмова в обслуговуванні (DoS) і доступ до закритої інформації.

Фахівці Cenzic, використовуючи дані софтверного сервісу перевірки уразливостей Cenzic ClickToSecure і досліджень, проведених у власній лабораторії, з’ясували, що більш 70% проаналізованих веб-додатків потенційно уразливі до крадіжки інформації.

Помилки в архітектурі, при написанні коду і ненадійні настроювання як і раніше є основними причинами атак. XSS - найпоширеніший вид атаки: він можливий у 70% додатків. Майже 20% додатків допускають SQL-ін’єкції. Майже половина не вміє обробляти комплексні виняткові ситуації.

По матеріалам http://www.secblog.info.

Корпорація Mіcrosoft повідомила про те, що перша бета-версія Internet Explorer 8 буде випущена в I половині 2008 р. За словами розробників, нова версія популярного веб-браузера буде успішно проходити Acid2 Browser Test, розроблений Web Standards Project. Цей тест дозволяє довідатися, чи правильно програма обробляє останні специфікації HTML і CSS і чи здатна коректно відображати веб-сторінки.

В даний час Acid2 Browser Test проходять лише OmniWeb і Safari (обоє на Mac OS X), а також крос-платформний браузер Opera і бета-версії Firefox 3.0. Internet Explorer дебютував ще до появи таких стандартів, як CSS (Cascading Style Sheets) і RSS (Really Simple Syndication). В зв’язку з тим, що протягом багатьох років IE був навряд чи не єдиним браузером, саме він задавав стандарти серфінгу, що змушувало розробників сайтів оптимізувати сторінки саме під нього, а не під нові технології. Протягом усього часу IE не був здатний успішно проходити Acid2 Browser Test, що породжувало багато критики на його адресу.

“Відповідно до наших цілей, IE 8 зобов’язаний підтримувати необхідний набір стандартів і не повинний руйнувати веб”, - ділиться у своєму блозі головний менеджер продукту Дін Хакамович.

По матеріалам http://www.cnews.ru.

P.S.

Internet Explorer 8 повинний не тільки не руйнувати веб, він також повинен бути більш безпечними ніж попередні версії IE .

Виявлений обхід захисту безпечного режиму в PHP (safemode bypass).

Уразливі версії: PHP 5.2.

Використовуючи конструкції LOAD_FILE, INTO DUMPFILE, INTO OUTFILE можна звертатися до файлів за межами дозволеного каталогу.

• PHP <=5.2.4 open_basedir bypass & code exec & denial of service (деталі)
• PHP 5.2.4 <= various mysql functions safemode & open_basedir bypass (деталі)

Виявлені численні уразливості в Adobe Flash Player. Стосовно останніх уразливостей у флеші я згадував в новинах про те, що 500000 flash файлів на популярних сайтах уразливі до XSS.

Уразливі версії: Adobe Flash Player 7.0, Flash Player 8.0, Flash Player 9.0.

Зокрема виявлено переповнення буфера динамічної пам’яті при обробці JPEG, універсальний міжсайтовий скриптінг, DNS rebinding та витік інформації.

• XSS Vulnerabilities in Common Shockwave Flash Files (деталі)
• Socket Connection Timing Can Reveal Information About Network Configuration (Exploit) (деталі)
• Adobe Updates for Multiple Vulnerabilities (деталі)
• Adobe Flash Player ActiveX Control Universal Cross-Site Scripting Vulnerability (деталі)
• Adobe Flash Player JPG Processing Heap Overflow Vulnerability (деталі)

В листопаді минулого року вийшов Invision Power Board v2.3.3, тому всім хто користується движком IPB, раджу звернути увагу на нову версію.

• Русская версия IP.Board 2.3.3 (деталі)

Компанія IBResource офіційно повідомляє про випуск російської версії форуму IР.Воard v2.3.3 (Invision Power Board).

Вихід цієї версії пов’язаний винятково з виправленням декількох десятків помилок, знайдених у версіях 2.3.1 і 2.3.2. Були незначно змінені HTML шаблони в стилях. Але кардинальних змін не було, тому ваші власні стилі від IPB 2.3.1 будуть цілком сумісні з 2.3.3.

Після серії альфа-релізів нещодавно була випущена перша бета-версія браузера Firefox 3. Вона містить цілий ряд виправлень помилок, а також деякі поліпшення. Зокрема, багато уваги приділено безпеці: інформація про те, наскільки сайт небезпечний, тепер більш помітна, поліпшена інтеграція з антивірусом у модулі для завантаження файлів, поліпшена перевірка версій небезпечних плагінів, захист від шкідливих модулів і від помилок SSL на веб-сторінках.

Багато нововведень пов’язані зі спрощенням доступу до команд. Зокрема, поліпшене керування паролями, встановлення плагінів, у менеджері завантаження з’явилася можливість припинення і поновлення скачування, поліпшена інтеграція з Windows Vista і Mac OS X. Також варто відзначити можливість масштабування цілої сторінки, швидкий пошук по закладках й історії відвіданих сторінок, більш зручні налаштування завантаження файлів по типах.

Розробники також відзначають зміни в движку візуалізації HTML, що забезпечує поліпшену підтримку CSS, керування колірними профілями, поліпшену візуалізацію шрифтів і графічних елементів.

По матеріалам http://ain.com.ua.

Експерти безпеки Google попереджають про небезпечні уразливості в безпеці flash-аплетів. Вони стверджують, що в рамках спільного зі співробітниками фірми iSEC розслідування виявили, що більш ніж 500000 flash-файлів, розміщених на популярних веб-сайтах, відкриті для атак за допомогою міжсайтового скриптінга (XSS). Дослідники говорять, що навіть останні оновлення безпеки Adobe Flash Player не забезпечують захисту від небезпек, що були виявлені. Серед іншого, вони знайшли небезпечні flash-файли на державних онлайн-ресурсах і сайтах банків.

Група опублікувала подробиці дослідження в книзі “Hacking Exposed Web 2.0″, що вийде в США в січні 2008 р. Подібні повідомлення ІБ-компаній з’являються досить часто. Adobe, як стверджується, була інформована про результати досліджень ще у влітку 2007 р.

Автори стверджують, що секюріті патчі для flash-клієнта не можуть забезпечити вирішення даної проблеми: шкідливий код генерується вже при створенні файлів у багатьох популярних пакетах, у тому числі DreamWeaver, Breeze і Camtasia. Уразливості flash дозволяють зчитувати cookies чи реєстраційні дані, що можуть використовуватися в злочинних цілях.

По матеріалам http://www.secblog.info.

Правоохоронні органи США дуже сильно зацікавилися громадянином України Максимом Ястремським, що деякий час тому був арештований у Туреччині за торгівлю номерами банківських карт в онлайн-форумах. Виявилося, що Ястремський причетний до найбільшої в історії крадіжки, у результаті якої мережа магазинів TJX упустила 45,6 мільйонів аккаунтів з даними кредитних карт.

Немає ніяких доказів того, що арештований українець сам брав участь у крадіжці інформації. Але вже один той факт, що він займався її продажем в Інтернеті, дозволяє правоохоронним органом сподіватися на те, що через Ястремського вони вийдуть на інших зловмисників.

Провина тих, хто вкрав дані про кредитні карти, очевидна. Але вражає те, як легко їм це далося. Вони взламали бездротову мережу компанії, що була захищена не краще деяких домашніх мереж, і протягом 17 місяців мали доступ до всієї інформації в реальному часі. Більш того, хакери навіть обмінювалися між собою зашифрованими повідомленнями через цю мережу.

Ринкова вартість TJX складає 13 мільярдів доларів, але при цьому компанія не спромоглася ввести додаткові заходи безпеки. Тепер вона підраховує збитки - по оцінках самої TJX вони склали близько 256 мільйонів доларів. Аналітики Forrester Research упевнені, що ця цифра згодом збільшиться в чотири рази.

При цьому, ініціаторів взлому так і не знайшли. Хіба що у Флориді була арештована людина, що використовувала вкрадені дані для здійснення транзакції в розмірі 8 мільйонів доларів на свій рахунок, але не була власне виконавцем крадіжки. Можна представити тому, з яким ентузіазмом поліція візьметься за допит Максима Ястремського.

Громадяни України, схоже, незабаром стануть для США таким же грізним явищем, як міфічні “російські хакери”. Як вже повідомлялося, дані зі взламаного раніше рекрутингового сайта Monster.com, завантажувалися на сервер, розташований на території України.

По матеріалам http://webplanet.ru.

Дослідник ІБ Хосе Назаріо привів докази використання ботнетів для здійснення DDoS-атак у політичних цілях.

Політичні події у світі іноді пов’язані з інцидентами в кіберпросторі. Ніхто не приділяв цьому багато уваги доти, поки на початку 2007 р. не відбулися “DDoS-події” в Естонії, коли урядові і комерційні об’єкти невеликої країни виявилися паралізовані на декілька днів. Масова атака була пов’язана з переносом пам’ятника Бронзовому солдату. Для атаки естонських сайтів використовувалися ботнети, організовані російськими хакерами. Передбачалася участь у кібератаці російського уряду, однак доказів немає.

Хосе Назаріо, старший науковий співробітник безпеки Arbor Networks, зафіксував, як ботнети брали участь у більш пізніх DDoS-атаках, мотивованих політично. Назаріо протягом останніх трьох місяців (жовтень-грудень) відслідковував напади на український сайт про-російської партії.

Раніше фіксувалися DDoS-атаки на сайт президента України Віктора Ющенко (про котрі я писав). На минулому тижні Назаріо відстежив атаки на сайт Гаррі Каспарова, російського шахового гросмейстера.

Мотиви цих нападів залишаються неясними. “Я дивуюся, чим об’єднані ці атаки. Складно визначити мотиви російських хакерів, - пише Назаріо. - Я буду відслідковувати кібератаки, щоб визначити їхній характер”.

По матеріалам http://www.secblog.info.

P.S.

Мотиви тут як раз зрозумілі. По-перше - політичні, як видно з переліку атакованих сайтів. А по друге - економічні, хто заплатить, той і замовляє кого DDoS-ити.