Websecurity - Веб безпека

У квітні, 08.04.2014, через півтора місяці після виходу Google Chrome 33, вийшов Google Chrome 34.

В браузері зроблено декілька нововведень. А також виправлена 31 уразливість. 21 з яких позначені як небезпечні та 10 як помірні.

14 уразливостей виявлені співробітниками Google у процесі внутрішнього аудиту кодової бази.

• Выпуск web-браузера Chrome 34 (деталі)

12.04.2014

Виявлені уразливості безпеки в OpenSSL. Зокрема одна уразливість дозволяє провести Heartbleed атаку, що дозволяє отримати секретний ключ шифрування на веб сервері і розшифрувати SSL трафік. Що зараз активно використовується для атак в Інтернеті.

Уразливі версії: OpenSSL 1.0.

Витік інформації, відновлення ключа.

• OpenSSL vulnerabilities (деталі)

22.04.2014

Додаткова інформація.

• FreeBSD Security Advisory FreeBSD-SA-14:06.openssl (деталі)
• HP Software Autonomy WorkSite Server (On-Premises Software), Running OpenSSL, Remote Disclosure of Information (деталі)
• HP Autonomy WorkSite Server v9.0 (деталі)
• HP XP P9500 Disk Array running OpenSSL, Remote Disclosure of Information (деталі)
• HP System Management Homepage (SMH) running OpenSSL on Linux and Windows, Remote Disclosure of Information (деталі)
• HP Smart Update Manager (SUM) running OpenSSL, Remote Disclosure of Information (деталі)
• HP BladeSystem c-Class Onboard Administrator (OA) running OpenSSL, Remote Disclosure of Information (деталі)
• HP Software Server Automation, “HeartBleed” OpenSSL Vulnerability, Remote Disclosure of Information (деталі)
• HP Software Service Manager, “HeartBleed” OpenSSL Vulnerability, Remote Disclosure of Information (деталі)
• OpenSSL 1.0.1 library’s “Heart bleed” vulnerability - CVE-2014-0160 (деталі)
• HP Software HP Service Manager, Asset Manager, UCMDB Browser, Executive Scorecard, Server Automation, Diagnostics, LoadRunner, Performance Center, “HeartBleed” OpenSSL Vulnerability, Remote Disclosure (деталі)

З 24.03.2013 по 29.12.2013 та з 08.01.2014 по 17.04.2014 відбувся дев’ятий масовий взлом сайтів на сервері Delta-X, після восьмого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний новий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. 20 сайтів були дефейснуті в 2013 році та 56 сайтів в 2014 році.

Всього було взломано 77 сайтів на сервері української компанії Delta-X (IP 91.222.136.250). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.yarmrda.gov.ua.

Дефейси по одному сайту булу проведені хакерами kwgdeface, SlimeDont, C37HUN, Your Nick, InFlaMeS, ChatLak, jhoker, kazmil Hacker, m05l3k, FAMUR, Cogniti0, kwgdeface, default, Moroccan Hassan, CeLLaTReiS, 5 сайтів хакером Hmei7, 16 сайтів хакером HighTech та 41 сайт хакером d3b~X.

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Виявлена можливість підміни SSL з’єднань в Mozilla Network Security Services (NSS).

Уразливі версії: Mozilla NSS 3.15.

Некоректна реалізація TLS False Start.

• NSS vulnerability (деталі)

Нещодавно, 2 і 3 квітня, вийшли PHP 5.5.11 і PHP 5.4.27 відповідно. У версії 5.5.11 виправлено декілька багів і одна уразливість, а у версії 5.4.27 виправлено 5 багів і одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

У PHP 5.4.27 і PHP 5.5.11 виправлено:

• Уразливість CVE-2013-7345.

По матеріалам http://www.php.net.

28.02.2014

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 7.0, Tomcat 8.0.

Витік інформації, DoS, фіксація сеансів.

• CVE-2013-4590 Information disclosure via XXE when running untrusted web applications (деталі)
• CVE-2013-4322 Incomplete fix for CVE-2012-3544 (Denial of Service) (деталі)
• CVE-2013-4286 Incomplete fix for CVE-2005-2090 (Information disclosure) (деталі)
• CVE-2014-0033 Session fixation still possible with disableURLRewriting enabled (деталі)

16.04.2014

Додаткова інформація.

• Apache Commons FileUpload and Apache Tomcat DoS (деталі)

Виявлені численні уразливості безпеки в cURL.

Уразливі версії: cURL 7.36.

Витік інформації, обхід перевірки сертифікатів.

• Vulnerabilities in curl (деталі)

12.02.2014

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті, підвищення привілеїв, міжсайтовий доступ до даних.

• Многочисленные уязвимости безопасности в Microsoft Internet Explorer (деталі)

12.04.2014

Додаткова інформація.

• MS14-010 CVE-2014-0293 Technical Details and Code (деталі)

Виявлені DoS уразливості в Net-SNMP. Ця утиліта існує у вигляді стаціонарної програми та у вигляді Perl і Python модулей.

Уразливі версії: Net-SNMP 5.7.

Декілька DoS-умов.

• Vulnerabilities in Net-SNMP (деталі)

25.03.2014

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 27.0, Firefox ESR 24.3, Thunderbird 24.3, Seamonkey 2.24, NSS.

Переповнення буфера, пошкодження пам’яті, витік інформації, підвищення привілеїв, обхід захисту, несанкціонований доступ, підміна запитів.

• Vulnerability in NSS (деталі)
• Mozilla Foundation Security Advisory 2014-15 (деталі)
• Mozilla Foundation Security Advisory 2014-16 (деталі)
• Mozilla Foundation Security Advisory 2014-17 (деталі)
• Mozilla Foundation Security Advisory 2014-18 (деталі)
• Mozilla Foundation Security Advisory 2014-19 (деталі)
• Mozilla Foundation Security Advisory 2014-20 (деталі)
• Mozilla Foundation Security Advisory 2014-21 (деталі)
• Mozilla Foundation Security Advisory 2014-22 (деталі)
• Mozilla Foundation Security Advisory 2014-23 (деталі)
• Mozilla Foundation Security Advisory 2014-24 (деталі)
• Mozilla Foundation Security Advisory 2014-25 (деталі)
• Mozilla Foundation Security Advisory 2014-26 (деталі)
• Mozilla Foundation Security Advisory 2014-27 (деталі)
• Mozilla Foundation Security Advisory 2014-28 (деталі)
• Mozilla Foundation Security Advisory 2014-29 (деталі)
• Mozilla Foundation Security Advisory 2014-30 (деталі)
• Mozilla Foundation Security Advisory 2014-31 (деталі)
• Mozilla Foundation Security Advisory 2014-32 (деталі)

10.04.2014

Нова інформація.

• Mozilla Firefox “BumpChunk” Object Processing Use-after-free (Pwn2Own) (деталі)
• Firefox for Android Profile Directory Derandomization and Data Exfiltration (деталі)