Websecurity - Веб безпека

Виявлена можливість обходу захисту в Apache mod_security.

Уразливі версії: Apache mod_security 2.7.

Обхід захисту через chunked-кодування.

• Vulnerability in WAF mod_security (деталі)

За повідомленням www.opennet.ru, оцінка схильності користувачів до запуску потенційно шкідливих програм за гроші.

Група дослідників з Національного інституту стандартів і технологій США (NIST), університету Карнегі-Меллон і університету штату Пенсільванія провели цікавий експеримент, метою якого була оцінка, наскільки жадібність користувачів переважає над здоровим глуздом у питаннях комп’ютерної безпеки і скільки потрібно заплатити, щоб користувач добровільно запустив потенційно шкідливе ПЗ.

Автори експерименту пропонували заплатити користувачу невелику суму в обмін на те, що він запустить на своєму комп’ютері пропоновану для завантаження програму і введе в ній спеціальний код активації.

Всього з пропозицією ознайомилося 2854 користувачів, було завантажено 1714 копій програми, зафіксовано 965 запусків.

За повідомленням threatpost.ru, Gartner про загрозу витоків на мобільних платформах.

Згідно з прогнозом Gartner, до 2017 року основним вогнищем витоків з кінцевого устаткування стануть планшети і смартфони. При цьому в 75% випадків причиною порушення безпеки мобільного пристрою будуть погано налаштовані додатки.

В даний час Gartner спостерігає стійке скорочення продажів ПК, тоді як попит на портативні пристрої знаходиться на підйомі. У той же час атаки на мобільні пристрої стають усе більш витонченими.

За повідомленням www.xakep.ru, уразливість у материнських платах Supermicro видає паролі до серверів.

Як мінімум 32000 веб серверів з материнськими платами Supermicro як і раніше відкриті для несанкціонованого доступу через Інтернет, незважаючи на те, що вийшов патч, який закриває уразливість.

Наявність веб сервера в материнській платі, що відкритий для доступу з Інтернету, відносить її до категорії мережевих пристроїв. Про уразливості в яких пишуть десятиліттями.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 29.0, Firefox 24.5, Thunderbird 24.5, Seamonkey 2.26.

Переповнення буфера, пошкодження пам’яті, Clickjacking.

• Mozilla Foundation Security Advisory 2014-48 (деталі)
• Mozilla Foundation Security Advisory 2014-49 (деталі)
• Mozilla Foundation Security Advisory 2014-50 (деталі)
• Mozilla Foundation Security Advisory 2014-51 (деталі)
• Mozilla Foundation Security Advisory 2014-52 (деталі)
• Mozilla Foundation Security Advisory 2014-53 (деталі)
• Mozilla Foundation Security Advisory 2014-54 (деталі)
• Mozilla Foundation Security Advisory 2014-55 (деталі)

Виявлена можливість підвищення привілеїв у PHP.

Уразливі версії: PHP 5.5.

Слабкі дозволи на unix-socket.

• Vulnerability in PHP (деталі)

Виявлені численні уразливості безпеки в Apple Safari.

Уразливі версії: Apple Safari 6.1, Safari 7.0.

Численні пошкодження пам’яті.

• APPLE-SA-2014-05-21-1 Safari 6.1.4 and Safari 7.0.4 (деталі)

У травні, 29.05.2014, вийшли PHP 5.5.13 і PHP 5.4.29. У версії 5.5.13 виправлено декілька багів і дві уразливості, а у версії 5.4.29 виправлено 14 багів і дві уразливості. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

У PHP 5.4.29 і PHP 5.5.13 виправлено:

• Уразливість CVE-2014-0237 в розширенні Fileinfo.
• Уразливість CVE-2014-0238 в розширенні Fileinfo.

По матеріалам http://www.php.net.

20.05.2014

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 34.0, Chromium 34.0.

Обхід захисту, використання пам’яті після звільнення, пошкодження пам’яті, цілочисленні переповнення.

• chromium-browser security update (деталі)

18.06.2014

Додаткова інформація.

• chromium-browser security update (деталі)
• chromium-browser security update (деталі)

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.5.

Проблеми символьних лінків, переповнення буфера в dns_get_record().

• PHP configure script and Lynis tool /tmp/ issues reported on full disclosure (деталі)
• Re: PHP configure script and Lynis tool /tmp/ issues reported on full disclosure (деталі)
• PHP heap-based buffer overflow in DNS TXT record parsing (деталі)

В травні було багато інцидентів безпеки в Уанеті, як то взломи та інфікування сайтів і DDoS атаки, про які я пишу щотижня, а також були DDoS атаки та взломи політичного характеру, про які я написав в окремій публікації. Вони були пов’язані з проведенням президентських і місцевих виборів в Україні.

Окрім раніше згаданих інцидентів також виділю DDoS атаки на офіційні сайти ДНР і ЛНР - самопроголошених Донецької і Луганської республік, які ГПУ визнала терористичними організаціями. Цього місяця на дані сайти були проведені DDoS атаки.

DDoS на lugansk-online.info - 20.05.2014
DDoS на donetsk-gov.su - 28-31.05.2014

У середу я провів DDoS атаку на сайт ДНР, після чого інші активісти DDoSили його декілька днів - всі ці дні сайт працював повільно. А вже 31.05.2014 хостер закрив donetsk-gov.su, явно через постійні DDoS атаки на сайт.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Один з яких припинив роботу.

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 6.0, Tomcat 7.0, Tomcat 8.0.

Витоки інформації, DoS.

• CVE-2014-0119 Apache Tomcat information disclosure (деталі)
• CVE-2014-0097 Apache Tomcat information disclosure (деталі)
• CVE-2014-0096 Apache Tomcat information disclosure (деталі)
• CVE-2014-0095 Apache Tomcat denial of service (деталі)
• CVE-2014-0075 Apache Tomcat denial of service (деталі)