Websecurity - Веб безпека

Нещодавно, 30 квітня і 1 травня, вийшли PHP 5.5.12 і PHP 5.4.28 відповідно. У версії 5.5.12 виправлено декілька багів і одна уразливість, а у версії 5.4.28 виправлено 18 багів і одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

У PHP 5.4.28 і PHP 5.5.12 виправлено:

• Уразливість CVE-2014-0185.

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 28.0, Firefox ESR 24.4, Thunderbird 24.4, Seamonkey 2.25.

Обхід захисту, пошкодження пам’яті, підміна сертифіката, підвищення привілеїв, міжсайтовий скриптінг.

• Mozilla Foundation Security Advisory 2014-33 (деталі)
• Mozilla Foundation Security Advisory 2014-34 (деталі)
• Mozilla Foundation Security Advisory 2014-35 (деталі)
• Mozilla Foundation Security Advisory 2014-36 (деталі)
• Mozilla Foundation Security Advisory 2014-37 (деталі)
• Mozilla Foundation Security Advisory 2014-38 (деталі)
• Mozilla Foundation Security Advisory 2014-39 (деталі)
• Mozilla Foundation Security Advisory 2014-40 (деталі)
• Mozilla Foundation Security Advisory 2014-41 (деталі)
• Mozilla Foundation Security Advisory 2014-42 (деталі)
• Mozilla Foundation Security Advisory 2014-43 (деталі)
• Mozilla Foundation Security Advisory 2014-44 (деталі)
• Mozilla Foundation Security Advisory 2014-45 (деталі)
• Mozilla Foundation Security Advisory 2014-46 (деталі)
• Mozilla Foundation Security Advisory 2014-47 (деталі)

У квітні, 29.04.2014, вийшов Mozilla Firefox 29 з реалізацією нового інтерфейсу користувача, що розвивається під кодовим ім’ям Australis. Нова версія браузера вийшла через півтора місяці після виходу Firefox 28.

Mozilla офіційно випустила реліз веб-браузера Firefox 29, а також мобільну версію Firefox 29 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 30 намічений на 10 червня, а Firefox 31 на 22 липня.

Також був випущений Seamonkey 2.26 та оновлені гілки із тривалим терміном підтримки Firefox 24.5.0 і Thunderbird 24.5.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 29.0 усунуто 14 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 29 с переработанным пользовательским интерфейсом (деталі)

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі версії: PHP 5.4.

Нескінченна рекурсія при визначенні деяких видів файлів, вичерпання ресурсів.

• Vulnerability in PHP (деталі)

Виявлені численні уразливості безпеки в Ruby on Rails в компонентах Actionpack і Actionmailer.

Уразливі версії: Ruby on Rails 3.2, Ruby on Rails 4.0.

DoS, міжсайтовий скриптінг.

• ruby-actionpack-3.2 security update (деталі)
• ruby-actionmailer-3.2 security update (деталі)

21.11.2012

У вересні, 25.09.2012, відбувся масовий взлом сайтів на сервері OIAC. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії OIAC - Обласного інформаційно-аналітичного центру. На якому хостилося 34 gov.ua сайти. Масовий дефейс відбувся після згаданого масового взлому сайтів на сервері HostPro.

Всього було взломано 37 сайтів на сервері OIAC (IP 193.200.212.35). Це наступні сайти: reports.esco.od.ua, okv.esco.od.ua, siaz.odessa.gov.ua, ananiev-rada.odessa.gov.ua, tarutino-rada.odessa.gov.ua, tatarbunar-rada.odessa.gov.ua, shiryaivo-rada.odessa.gov.ua, sarata-rada.odessa.gov.ua, reni-rada.odessa.gov.ua, rozdilna-rada.odessa.gov.ua, mikolaivka-rada.odessa.gov.ua, lybashivka-rada.odessa.gov.ua, savran-rada.odessa.gov.ua, ovidiopol-rada.odessa.gov.ua, krasnookn-rada.odessa.gov.ua, orsf.odessa.gov.ua, iac.odessa.gov.ua, customs.odessa.gov.ua, invest.odessa.gov.ua, oblrada.odessa.gov.ua, ved.odessa.gov.ua, oda.odessa.gov.ua, kotovsk-rada.odessa.gov.ua, v-mihailivka-rada.odessa.gov.ua, komintern-rada.odessa.gov.ua, frunzivka-rada.odessa.gov.ua, kodima-rada.odessa.gov.ua, bolgrad-rada.odessa.gov.ua, bd-rada.odessa.gov.ua, arciz-rada.odessa.gov.ua, ivanivka-rada-t.odessa.gov.ua, bilyaivka-rada.odessa.gov.ua, berezivka-rada.odessa.gov.ua, izmail-rada.odessa.gov.ua, kiliya-rada.odessa.gov.ua, balta-rada-t.odessa.gov.ua, esco.od.ua. Всі вони - це українські державні сайти (34 в зоні gov.ua та 3 в зоні od.ua).

Всі зазначені сайти були взломані хакером HighTech.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 37 сайтів, то вони могли бути атаковані хакером HighTech через взлом серверу хостінг провайдера. Коли через взлом одного сайта, через уразливості в програмному забезпеченні самого сервера, атаковані інші сайти на даному сервері. Або вони могли бути атаковані через взлом одного сайта та подальшого взлому всіх сайтів в акаунті.

08.05.2014

У листопаді, 12.11.2013, відбувся повторний масовий взлом сайтів на сервері OIAC. До 37 сайтів дефейснутих раніше додалися ще 14 сайтів.

Було взломано 14 сайтів (всього 51 сайтів) на сервері 193.200.212.35 компанії OIAC. Це наступні сайти: touregion.odessa.gov.ua, reklama.odessa.gov.ua, customs.odessa.gov.ua, balta.odessa.gov.ua, reports.esco.od.ua, okv.esco.od.ua, esco.od.ua, iac.odessa.gov.ua, oblrada.odessa.gov.ua, orsf.odessa.gov.ua, siaz.odessa.gov.ua, ved.odessa.gov.ua, oda.odessa.gov.ua, invest.odessa.gov.ua. Всі вони - це українські державні сайти (в зонах gov.ua та od.ua).

Всі зазначені сайти були взломані хакером zerobyte.

У березні, 25.03.2014, вийшов Mozilla Firefox 28.0.1. Нова версія браузера вийшла лише через сім днів після виходу Firefox 28. І в ній виправлені баги та одна уразливість допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 28.0.1 у якому усунута наступна уразливість:

• Mozilla Foundation Security Advisory 2014-33 - лінки протоколу file: зкачуються до SD карти по замовчуванню.

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 13.0, Air 13.0.

Використання пам’яті після звільнення, переповнення буфера, обхід обмежень, міжсайтовий скриптінг.

• Adobe Flash ExternalInterface Use-After-Free Code Execution (Pwn2Own) (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)

Виявлені race condition уразливості в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Короткочасні умови приводять до DoS чи можливості ін’єкції даних.

• OpenSSL vulnerabilities (деталі)
• FreeBSD Security Advisory FreeBSD-SA-14:09.openssl (деталі)

Виявлена уразливість використання пам’яті після звільнення в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Use-after-free уразливість в VGX.DLL активно використовується in-the-wild.

• Microsoft Security Bulletin MS14-021 - Critical Security Update for Internet Explorer (2965111) (деталі)