Websecurity - Веб безпека

У жовтні, 16.10.2014, вийшли PHP 5.4.34, PHP 5.5.18 і PHP 5.6.2. У версії 5.5.34 виправлено 6 уразливостей, у версії 5.4.18 виправлено декілька багів і 4 уразливості, а у версії 5.6.2 виправлено 4 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.34, 5.5.18 і 5.6.2 виправлено:

• Уразливості CVE-2014-3668, CVE-2014-3669 і CVE-2014-3670.
• Null byte injection уразливість в libcURL.
• Виправлення для OpenSSL, додане в попередніх версіях, що приводило до регресії, повернуто в попередній стан у версіях 5.4.34 і 5.5.18.

По матеріалам http://www.php.net.

Виявлене виконання коду в Microsoft Word, а також в серверних продукта SharePoint Server і Office Web Apps.

Уразливі продукти: Microsoft SharePoint Server 2010, Office Web Apps 2010.

Виконання коду при розборі формату Word.

• Microsoft Security Bulletin MS14-061 - Important Vulnerability in Microsoft Word and Office Web Apps Could Allow Remote Code Execution (3000434) (деталі)

Після виходу в серпні PHP 5.6, у жовтні, 02.10.2014, вийшов PHP 5.6.1. У якому виправлено декілька багів. Даний реліз направлений на покращення стабільності гілки 5.6.x.

Жодних уразливостей в цій версії PHP виправлено не було.

По матеріалам http://www.php.net.

Виявлені уразливості безпеки в .NET Framework і ASP.NET MVC.

Уразливі продукти: Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Виконання коду через .Net и обхід захисту в ASP.NET MVC (для проведення XSS атак).

• Microsoft Security Bulletin MS14-057 - Critical Vulnerabilities in .NET Framework Could Allow Remote Code Execution (3000414) (деталі)
• Microsoft Security Bulletin MS14-059 - Important Vulnerability in ASP.NET MVC Could Allow Security Feature Bypass (деталі)

02.06.2011

В травні, 14.05.2011, відбувся масовий взлом сайтів на сервері Візор (причому виключно gov.ua сайтів). Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Візор. Взлом відбувся після згаданого масового взлому сайтів на сервері Hvosting.

Всього було взломано 12 державних сайтів на сервері Vizor (IP 193.109.144.9). Це наступні сайти: manadm.gov.ua, www.shaadm.gov.ua, www.kivrada.gov.ua, www.turadm.gov.ua, www.kamadm.gov.ua, www.volodymyrrada.gov.ua, ivaadm.gov.ua, www.lutskadm.gov.ua, www.lbmadm.gov.ua, www.vvadm.gov.ua, www.koveladm.gov.ua, www.ratadmin.gov.ua.

Всі зазначені сайти були взломані 14 травня 2011 року хакерами BrOx-Dz і kader11000.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

18.10.2014

Після першого масового взлому, відбулися нові масові дефейси на цьому сервері (за 2011-2014 роки).

Всього було взломано 227 сайтів (тобто ще 215 сайтів) на сервері хостера Візор (IP 91.197.17.10). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: manadm.gov.ua, www.turadm.gov.ua, kamadm.gov.ua, koveladm.gov.ua, kivadm.gov.ua, lbsadm.gov.ua, lbmadm.gov.ua, lambada.lutsk.ua, locadm.gov.ua, lutskadm.gov.ua, rozhadm.gov.ua, volodymyrrada.gov.ua, vvadm.gov.ua. Перед цим у 2011 році було дефейснуто 12 державних сайтів.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Обхід захисту і численні пошкодження пам’яті.

• Microsoft Security Bulletin MS14-056 - Critical Cumulative Security Update for Internet Explorer (2987107) (деталі)

У жовтні, 14.10.2014, вийшов Mozilla Firefox 33. Нова версія браузера вийшла через півтора місяці після виходу Firefox 32.

Mozilla офіційно випустила реліз веб-браузера Firefox 33, а також мобільну версію Firefox 33 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 34 намічений на 25 листопада, а Firefox 35 на 13 січня.

Також були випущені Seamonkey 2.30, а перед цим Firefox 32.0.3, та оновлені гілки із тривалим терміном підтримки Firefox 31.2 і Thunderbird 31.2.

Серед покращень безпеки додано новий бекенд CSP (Content Security Policy). Для захисту від XSS атак і включення в сторінки “iframe/javascript src” блоків.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 33.0 усунуто 9 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 33 (деталі)

Виявлена можливість проведення DoS атаки проти Perl модуля Email-Address.

Уразливі версії: Perl Email::Address до 1.905.

Вичерпання ресурсів при розборі адреси.

• Vulnerabilities in perl-Email-Address (деталі)

Виявлений витік інформації в Mozilla Firefox і Microsoft Internet Explorer.

Уразливі продукти: Mozilla Firefox до 33.0, Microsoft Internet Explorer 11 та попередні версії.

Можливий витік умісту пам’яті при розборі зображень.

• two browser mem disclosure bugs (CVE-2014-1580) (деталі)

Виявлені численні уразливості безпеки в Google Chrome і Chromium.

Обхід обмежень, пошкодження пам’яті, витік інформації, підміна URL.

Уразливі продукти: Google Chrome 36.0, Chromium 36.0.

• chromium-browser security update (деталі)