Websecurity - Веб безпека

До речі вже вийшов Invision Power Board v2.1.7, тому всі хто користується IPB, можуть оновити свій форум на останню версію.

• IP.Board 2.1.7 and IPB.Blog 1.2.4 Released (деталі)
• Русская версия Invision Power Board v2.1.7 (деталі)

Компанія ibresource повідомляє про вихід російської версії форуму Invision Power Board v2.1.7.

Ця версія містить у собі кілька виправлених критичних помилок з моменту виходу IPB 2.1.6, а також нову утиліту “Антивірус” (цю функцію можна знайти у вкладці “ІНШЕ” в адмінці).

Компанія ibresource рекомендує всім адміністраторам форумів IPB 2.1.x по можливості переходити на нову версію 2.1.7.

Знайдені числені уразливості в PHP (multiple PHP scripting language security vulnerabilities).

Уразливі версії: PHP 4.4, PHP 5.1.

Обхід безпечного режиму через функції error_log(), file_exists(), imap_open() і imap_reopen() і розширення cURL. Переповнення буфера в ряді функцій на 64-бітних системах, переповнення буфера в GD при обробці GIF, переповнення буфера в stripos(), некоректний memory_limit на 64-бітних системах.

Рекомендую встановити останню версію php інтерпретатора.

• PHP 4.4.4 and PHP 5.1.5 Released (деталі)

Хробаки і віруси, що поширюються завдяки низкому ступеню захисту браузерів і веб-серверів, імовірно, стануть основною загрозою для інтернет-користувачів. Така думка виразили фахівці в області інформаційної безпеки, виступаючи на брифінгах конференції Black Hat.

У ході виступів експерти продемонстрували методи використання JavaScript для збору інформації про користувачів. Ці методи дозволяють одержувати дані про те, які сайти відвідує користувач, і сканувати внутрішні мережі. Крім того, експерти показали, як за допомогою технології AJAX можна створювати шкідливі програми для розкрадання персональної інформації про користувачів.

Усі ці загрози - не теорія. З ними вже зіштовхувалися користувачі ресурсів MySpace і Yahoo!, заявив головний експерт компанії SPI Dynamics Біллі Хоффман.

Торік користувачі ресурсу MySpace зіштовхнулися з хробаком Samy. Ця шкідлива програма, використовуючи JavaScript і AJAX, додавала в список друзів відвідувачів MySpace нового користувача - Samy. Поява цієї шкідливої програми спровокувало чекання інших хробаків, здатних заражати комп’ютери відвідувачів сайтів. І такі хробаки з’явилися. У червні в поштовій службі Yahoo! поширювався хробак Yamanner, що збирав адреси користувачів і відправляв їх творцям шкідливої програми.

Описані вище атаки - лише перша ознака того, що нас очікує, вважає засновник і технічний директор компанії WhiteHat Security Джеремія Гроссман. Він продемонстрував метод, що дозволяє виявити, які популярні сайти відвідувала потенційна жертва автора віруса. Гроссман також показав, яким чином, використовуючи JavaScript і не використовуючи уразливості в програмному забезпеченні, можна сканувати внутрішню мережу. “Тепер нам не потрібно зламувати операційну систему - усе, що потрібно - це онлайн-атака”, - відзначив експерт.

По матеріалам http://www.securitylab.ru.

Знайдена Cross-Site Scripting уразливість на сайті Агентства Національної Безпеки США (National Security Agency) http://www.nsa.gov. Про що вже сповістив адміністрацію веб сайту.

XSS:

• alert (тільки IE)
• alert(document.cookie) (тільки IE)
• моя лінка на сайті
• цікавий

NSA потрібно приділяти увагу безпеці власного сайту

Міжнародна зустріч хакерів відбудеться 1-3 вересня в місті Парма на півночі Італії. Точне місце проведення конференції не розголошується. Про нього учасники довідаються на центральному залізничному вокзалі в Пармі.

Як повідомляють організатори, цього року шоста зустріч хакерів буде більше нагадувати вечірку нон-стоп. Комп’ютерні генії, що не обов’язково роблять протиправні дії в мережі, будуть обговорювати політику, свободу інформації, нові технології, поновлювані джерела енергії, вільні мережі обміну файлами і поширення інформації, захищеної авторськими правами.

Передбачається проведення декількох семінарів. Взяти участь зможуть усі бажаючі зовсім безкоштовно, причому для цього не обов’язково бути хакером чи знати, як нашкодити в мережі. Головною умовою участі є бажання самому керувати своїм життям і бути готовим за це боротися. Попередні зустрічі хакерів проводилися з 1998 року в Римі, Мілані, Неаполі, Флоренції, Турині, Катанні, Генуї і Болоньї.

По матеріалам http://www.securitylab.ru.

Виявлено дві уразливості в PHP. Уразлива версія: PHP 4.4.x.

1. Уразливість існує при перевірці offset/length параметра у функції “substr_compare()”.

2. Уразливість існує через помилку при обробці визначених символів в іменах сесій.

Рекомендую встановити останню версію php із сайта виробника.

Як я вже писав, нещодавно вийшов php 4.4.3.

Нещодавно, вкотрий раз, взломали сайти Кевіна Мітника.

Як пише securitylab.ru, Кевін Мітник, сумно відомий хакер, що спеціалізувався в соціотехнічних методах, у даний час пропонує різноманітні послуги в області IT безпеки і читає різноманітні високооплачувані лекції по всьому світі.

Група пакистанських хакерів взломала вчора Web 4 сайти компанії Кевіна Мітника. Були замінені головні сторінки сайтів defensivethinking.com, mitsec.com, kevinmitnick.com і mitnicksecurity.com з образливими висловленнями на адресу Мітника.

Це вже не перший взлом веб сайтів Мітника. Відразу після звільнення, він відкрив компанію defensivethinking.com, сайт якої неодноразово зламувався різними хакерами, експлуатуючи уразливість у FrontPage розширенні. В один час між хакерами почалося взаємне суперництво, чий текст взлому пробуде на сайті Мітника довше.

Кевіну і співробітникам його фірм потрібно частіше заходити на мій сайт .

Можливе пошкодження пам’яті в PHP (memory corruption). Уразливі версії: PHP 4.4, PHP 5.1.

Можливий запис за межі масиву у функції sscanf().

• php local buffer underflow could lead to arbitary code execution (деталі)

При видаленні елемента хеш-таблиці може бути вилучений елемент із тим же значенням хеш-функції але іншого класу.

Уразливі версії: PHP 4.4, PHP 5.1.

• PHP: Zend_Hash_Del_Key_Or_Index Vulnerability (деталі)
• Hardened-PHP Project - PHP Security - Zend Hash Del Key Or Index Vulnerability (деталі)

До речі, як я писав, нещодавно вийшов php 4.4.3.

З 4 по 6 серпня в Лас-Вегасі (штат Невада, США) збираються знамениті хакеры з усього світу, адміністратори комп’ютерних мереж, керівники ІТ-підрозділів компаній і агенти ФБР. Таку “різношерсту” публіку поєднує захід за назвою Конференція DefCon. Цього року це стане вже 14-та по рахунку конференція.

Варто відмітити, що Defcon у деякому сенсі знаходиться особняком від інших подібних заходів. За 14 років існування ця конференція змогла залишитися заходом для професіоналів комп’ютерного фронту.

Під час цієї конференції традиційно діє негласна угода між співробітниками ФБР і хакерами про те, що перші не будуть заарештовувати других, а другі не будуть заважати проведенню конференції. Defcon є унікальною ще й у тому сенсі, що тут на одній трибуні зустрічаються виробники вірусів і антивірусів, керівництво таких гігантів, як Microsoft чи Cisco, і юні хакери-інтелектуали, що найчастіше приїжджають на конференцію з батьками в силу свого віку.

Усі ці люди зацікавлені в одному - довідатися про самі останні методи комп’ютерних атак і захисту від них, послухати доповіді про новітні комп’ютерні технології і методи їхнього взлому.

Також організатори відзначають, що з кожним роком Defcon стає усе більш солідною, організованою й упорядкованою. Якщо в 1993 році ця конференція була фактично просто зборами хакерів, то сьогодні - це вже солідний, розбитий на секції захід.

Були і випадки, коли на доповідачів подавали в суд. Наприклад, відомий комп’ютерний фахівець Майкл Лін перебував під загрозою судового переслідування з боку Cisco і арешту з боку ФБР, за те, що намагався розповісти про уразливості, що дозволяють блокувати все устаткування Cisco. Компанія зуміла одержати копію доповіді Ліна ще до його виступу, однак перешкодити самому виступу так і не змогла.

По матеріалам http://www.securitylab.ru.