Websecurity - Веб безпека

Знайдені числені уразливості в PHP. Уразливі версії: PHP < 4.4.4, PHP < 5.1.5.

Я вже раніше писав про знайдені численні уразливості в PHP.

Виявлені уразливості дозволяють локальному користувачу обійти деякі обмеження безпеки.

• Відсутня перевірка підтвердження safe_mode і open_basedir у функціях “file_exists()”, “imap_open()”, and “imap_reopen()”.
• Виявлено декілька помилок перевірки границь даних у функціях “str_repeat()” і “wordwrap()” на 64-бітних платофрмах.
• Зловмисник може обійти обмеження open_basedir і safe_mode за допомогою розширення cURL і realpath кеша.
• Помилка перевірки границь даних існує в розширенні GD при обробці GIF зображень.
• Уразливість існує через помилку перевірки границь даних у функції “stripos()”.
• Уразливість існує через наявність некоректних обмежень memory_limit на 64-бітних платформах.

Рекомендую встановити останню версію php (4.4.4 чи 5.1.5) із сайта виробника.

• Множественные уязвимости в PHP (деталі)

Як я вже писав раніше, деякий час тому вийшов Invision Power Board 2.1.7. І майже одразу була знайдена уразливість в IPB.

Уразлива Invision Power Board 2.1.7 і більш ранні версії. Уразливість дозволяє віддаленому користувачу обійти деякі обмеження безпеки.

Уразливість існує через невідому помилку в режимі “threaded view”. Віддалений користувач може одержати доступ до повідомлень користувачів за межами теми.

Рекомендую встановити виправлення для IPB з сайта виробника.

Додаткова інформація на дану тему:

• Обход ограничений безопасности в Invision Power Board (деталі)
• Invision Power Board Threaded View Mode Security Bypass (деталі)

МОО ВПП ЮНЕСКО “Інформація для всіх” й інформаційно-аналітичний портал SecurityLab проводять нове опитування (дуже актуальне як для мене) в рамках проекту “Право і суспільство в цифрову епоху”, ціль якого - з’ясувати думку користувачів Рунета щодо припустимих границь дослідження уразливості інформаційних систем - програмного забезпечення, веб-сайтів, мереж передачі даних, тощо.

Ця тема неодноразово піднімалася на різних рівнях в усьому світі, але в Росії практично не була порушена. Пропозицією розгорнутого обговорення питань пошуку й усунення уразливостей пролунала доповідь Сергія Гордейчика в ході VII Міжнародної конференції “Право й Інтернет”, що зібрав експертів в області юриспруденції і комунікацій з державних, суспільних і комерційних структур країн СНД і Балтії.

Ситуація з пошуком, усуненням і публікацією інформації про уразливості є дуже делікатним питанням. З одного боку, без незалежної експертизи практично неможливо оцінити рівень захищеності того чи іншого продукту, а без публічного обговорення цих проблем дуже складно змусити виробників серйозно відноситься до безпеки власних продуктів.

З іншого боку, непродумане розголошення інформації про уразливості може привести до серйозних втрат, як з боку виробника, так і користувачів системи. Ситуація збільшується широким поширенням online-служб, таких як платіжні системи, IP-телефония, коли уразливість одного сервера може привести до обмеження інтересів великої кількості користувачів.

“У даний час більшість дослідників самостійно вибирають для себе стратегію взаємодії з виробником і публікації інформації про знайдені уразливості. Ці стратегії, чи “політики розголошення”, носять характер етичних норм і найчастіше досить агресивні”, - відзначив Сергій Гордейчик, - “Але з іншого боку, спроби бізнесу чи держави регулювати процес дослідження захищеності систем поки приводили тільки до активізації чорного ринку”.

Сьогодні термін “хакер” не має чіткого емоційного забарвлення. Хакерами називають і тих ентузіастів, що досліджують уразливості інформаційних систем з метою зробити кіберпростір надійнішим, і тих, хто, навпроти, використовує знайдені уразливості в корисливих чи хуліганських цілях.

Як відзначив керівник МОО ВПП ЮНЕСКО “Інформація для всіх” Олексій Демидов, - “Результати цього опитування допоможуть краще зрозуміти: що варто регулювати законодавчо, а з чим відмінно справляються інструменти саморегулювання, “правила гарного тону”, прийняті в кіберпросторі. Зокрема, де межа між хакером-подвижником і хакером-злочинцем”.

По матеріалам http://www.securitylab.ru.

03.09.2006

Уразливість в Apache дозволяє віддаленому користувачу викликати відмову в обслуговуванні додатка.

Уразливі версії: Apache версії до 1.3.37, Apache версії до 2.0.59, Apache версії до 2.2.3.

Уразливість існує через помилку завищення на одиницю в модулі mod_rewrite. Віддалений користувач може за допомогою спеціально сформованого запиту викликати однобайтне переповнення буфера й аварійно завершити роботу додатка. Для успішної експлуатації уразливості повинні використовуватися деякі типи правил і RewriteRule флаги не повинні містити Forbidden (F), Gone (G), і NoEscape (NE).

Рекомендується встановити останню версію із сайта виробника.

05.09.2006

Додаткова інформація на тему переповнення буферу в mod_rewrite під Apache:

• Ошибка завышения на единицу в mod_rewrite в Web сервере Apache (деталі)
• Apache mod_rewrite buffer overflow (деталі)
• POC & exploit for Apache mod_rewrite off-by-one (деталі)
• Apache HTTP Server 2.2.3 (2.0.59, 1.3.37) Released (деталі)
• Apache vulnerability (деталі)

Як повідомляє ha.ckers.org, за останні два тижні вже зафіксовано декілька випадків використання редиректорів від Yahoo та Google для проведення фішинг атак.

• Редиректор Yahoo (веде на websecurity.com.ua).
• Редиректор Google (веде на websecurity.com.ua).

Люди довіряють таким брендам як Google та Yahoo, що і використовують зловмисники, для переадресації на фішинг сайти через редиректори відомих пошукових компаній.

Додаткова інформація:

• Redirection in Yahoo Forwards Phishing (деталі)
• Google Redirection Hole Used For Phishing (деталі)

У той час як усе більше число компаній прагне відкривати онлайнові сервиси і власні представництва в Інтернеті, статистика організації Web Application Security Consortium показує, що кількість взломів веб-додатків неухильно зростає. Якщо якийсь час тому хакери здебільшого організовували мережні атаки, метою яких був взлом і одержання контролю над ПК чи сервером, то торік був відзначений 70-відсоткове зростання числа взломів веб-сайтів, у порівнянні з показниками 2004 року. Багаторазовим атакам торік, зокрема піддавалися ресурс Sourceforge.net і соціальна мережа MySpace.com.

Серед основних причин негативної тенденції називають широку приступність необхідних для атаки програмних засобів, що будь-який бажаючий може відшукати за допомогою будь-якого онлайнового пошуковця. Друга причина - недостатня увага з боку розроблювачів сайтів до питань безпеки.

Захищеність сайту від взлому найбільш критична для банків, усе більше число яких прагнуть надавати свої послуги через Інтернет. Відповідно до недавньої статистики Bank of America, торік послугами банку онлайн скористалося на 70 відсотків більше клієнтів, чим у 2004 році.

Нагадаємо, що торік найбільші банки Washington Mutual, Bank of America і Wells Fargo були змушені відмовитися від використання PIN-кодів при здійсненні грошових переказів і перевипустити кілька тисяч платіжних карт після того, як шляхом комп’ютерного взлому була викрадена клієнтська база даних. З розкраданням конфіденційних даних зіштовхнулися торік також банк HSBC і брокерська компанія Scottrade.

При цьому на обачність самих користувачів, що нерідко стають жертвами фішинга, розраховувати також не приходиться. За результатами опитування, проведеного банком TD Canada Trust серед більш 700 клієнтів, про потенційну загрозу фішинга були інформовані лише 30 відсотків респондентів. У той час як більшість цілком довіряє банку в питаннях захисту інформації. Незважаючи на те, що увага до проблеми поступово підвищується, і компанії всі частіше використовують програмні й апаратні засоби захисту інформації, по оцінках експертів, нинішній рік обіцяє бути нітрохи не краще попереднього.

По матеріалам http://security.compulenta.ru.

До речі вже вийшов Invision Power Board v2.1.7, тому всі хто користується IPB, можуть оновити свій форум на останню версію.

• IP.Board 2.1.7 and IPB.Blog 1.2.4 Released (деталі)
• Русская версия Invision Power Board v2.1.7 (деталі)

Компанія ibresource повідомляє про вихід російської версії форуму Invision Power Board v2.1.7.

Ця версія містить у собі кілька виправлених критичних помилок з моменту виходу IPB 2.1.6, а також нову утиліту “Антивірус” (цю функцію можна знайти у вкладці “ІНШЕ” в адмінці).

Компанія ibresource рекомендує всім адміністраторам форумів IPB 2.1.x по можливості переходити на нову версію 2.1.7.

Знайдені числені уразливості в PHP (multiple PHP scripting language security vulnerabilities).

Уразливі версії: PHP 4.4, PHP 5.1.

Обхід безпечного режиму через функції error_log(), file_exists(), imap_open() і imap_reopen() і розширення cURL. Переповнення буфера в ряді функцій на 64-бітних системах, переповнення буфера в GD при обробці GIF, переповнення буфера в stripos(), некоректний memory_limit на 64-бітних системах.

Рекомендую встановити останню версію php інтерпретатора.

• PHP 4.4.4 and PHP 5.1.5 Released (деталі)

Хробаки і віруси, що поширюються завдяки низкому ступеню захисту браузерів і веб-серверів, імовірно, стануть основною загрозою для інтернет-користувачів. Така думка виразили фахівці в області інформаційної безпеки, виступаючи на брифінгах конференції Black Hat.

У ході виступів експерти продемонстрували методи використання JavaScript для збору інформації про користувачів. Ці методи дозволяють одержувати дані про те, які сайти відвідує користувач, і сканувати внутрішні мережі. Крім того, експерти показали, як за допомогою технології AJAX можна створювати шкідливі програми для розкрадання персональної інформації про користувачів.

Усі ці загрози - не теорія. З ними вже зіштовхувалися користувачі ресурсів MySpace і Yahoo!, заявив головний експерт компанії SPI Dynamics Біллі Хоффман.

Торік користувачі ресурсу MySpace зіштовхнулися з хробаком Samy. Ця шкідлива програма, використовуючи JavaScript і AJAX, додавала в список друзів відвідувачів MySpace нового користувача - Samy. Поява цієї шкідливої програми спровокувало чекання інших хробаків, здатних заражати комп’ютери відвідувачів сайтів. І такі хробаки з’явилися. У червні в поштовій службі Yahoo! поширювався хробак Yamanner, що збирав адреси користувачів і відправляв їх творцям шкідливої програми.

Описані вище атаки - лише перша ознака того, що нас очікує, вважає засновник і технічний директор компанії WhiteHat Security Джеремія Гроссман. Він продемонстрував метод, що дозволяє виявити, які популярні сайти відвідувала потенційна жертва автора віруса. Гроссман також показав, яким чином, використовуючи JavaScript і не використовуючи уразливості в програмному забезпеченні, можна сканувати внутрішню мережу. “Тепер нам не потрібно зламувати операційну систему - усе, що потрібно - це онлайн-атака”, - відзначив експерт.

По матеріалам http://www.securitylab.ru.

Знайдена Cross-Site Scripting уразливість на сайті Агентства Національної Безпеки США (National Security Agency) http://www.nsa.gov. Про що вже сповістив адміністрацію веб сайту.

XSS:

• alert (тільки IE)
• alert(document.cookie) (тільки IE)
• моя лінка на сайті
• цікавий

NSA потрібно приділяти увагу безпеці власного сайту