Websecurity - Веб безпека

Виявлені уразливості безпеки в Apache.

Уразливі версії: Apache 2.2, Apache 2.4.

DoS через mod_log_config, переповнення буфера в mod_dav.

• Multiple vulnerabilities in Apache (деталі)

В грудні, 27.12.2013, відбувся масовий взлом сайтів на сервері Hostinger. Раніше я писав про інші масові дефейси.

Був взломаний сервер компанії Hostinger. Дефейс відбулися після згаданого масового взлому сайтів на сервері Freehost.

Всього було взломано 20 сайтів (з них 10 українських державних сайтів) на сервері хостера Hostinger (IP 31.170.165.152). Це наступні українські державні сайти: ruda.snigurivka-rda.gov.ua, kuluta.snigurivka-rda.gov.ua, commite.snigurivka-rda.gov.ua, sumbidge.snigurivka-rda.gov.ua, rubbia.snigurivka-rda.gov.ua, albiru.snigurivka-rda.gov.ua, grdu.snigurivka-rda.gov.ua, loces.snigurivka-rda.gov.ua, runzie.snigurivka-rda.gov.ua, gigret.snigurivka-rda.gov.ua.

Всі 20 сайтів були взломані хакером HambaAllah.

Цілком імовірно, що дані сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

13.03.2014

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.5.

DoS, витік інформації, виконання коду.

• PHP vulnerabilities (деталі)

22.03.2014

Додаткова інформація.

• Multiple vulnerabilities in PHP (деталі)

У березні, 18.03.2014, вийшов Mozilla Firefox 28. Нова версія браузера вийшла через півтора місяці після виходу Firefox 27.

Mozilla офіційно випустила реліз веб-браузера Firefox 28, а також мобільну версію Firefox 28 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 29 намічений на 29 квітня, а Firefox 30 на 6 червня.

Також був випущений Seamonkey 2.25 та оновлені гілки із тривалим терміном підтримки Firefox 24.4.0 і Thunderbird 24.4.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 28.0 усунуто 18 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 28 (деталі)

Виявлені численні уразливості безпеки в Apple Safari та WebKit.

Уразливі версії: Apple Safari 6.1, Safari 7.0.

Численні пошкодження пам’яті.

• APPLE-SA-2014-02-25-2 Safari 6.1.2 and Safari 7.0.2 (деталі)

Виялвені численні уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 8.4, PostgreSQL 9.1.

DoS, підвищення привілеїв, пошкодження пам’яті.

• PostgreSQL vulnerabilities (деталі)

Нещодавно, 6 і 7 березня, вийшли PHP 5.5.10 і PHP 5.4.26 відповідно. У версії 5.5.10 виправлено декілька багів і три уразливості, а у версії 5.4.26 виправлено 4 баги і одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

У PHP 5.4.26 і PHP 5.5.10 виправлено:

• Уразливість CVE-2014-1943.

У PHP 5.5.10 виправлено:

• Уразливості CVE-2014-2270 і CVE-2013-7327.

По матеріалам http://www.php.net.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS14-012 - Critical Cumulative Security Update for Internet Explorer (2925418) (деталі)

За повідомленням www.opennet.ru, на змаганні Pwn2Own 2014 продемонстровані взломи Chrome, Chrome OS, Firefox, IE, Safari та Flash.

Підведено підсумки змагання Pwn2Own 2014, проведеного в рамках конференції CanSecWest у Ванкуверу. На змаганні були продемонстровані робочі техніки експлуатації раніше невідомих уразливостей, що привели до успішного виконання коду нападника в системі.

Захід вийшов як ніколи насиченим перемогами - за два дні змагань у сумі був виплачено 850 тисяч доларів винагород за демонстрацію 14 успішних атак. Найбільше яскраво відзначилась команда з компанії Vupen, що продемонструвала 5 успішних атак і заробила на них 400 тисяч доларів.

Були продемонстровані успішні атаки на Google Chrome, Chrome OS, Mozilla Firefox, Microsoft Internet Explorer та Apple Safari. А також на програми компанії Adobe: Flash і Reader.

За повідомленням threatpost.ru, Google виправила чотири баги з Pwn2Own в Chrome 33.

Після конкурсу Pwn2Own виробники браузерів почали випускати патчі для уразливостей, знайдених конкурсантами. Google випустила виправлення для декількох уразливостей у Chrome, виявлених і експлуатованих під час Pwn2Own, обновивши версії браузера для Windows, Mac і Linux.

VUPEN одержала нагороду $100000 від Google за дві уразливості у Chrome, а анонімний дослідник заробив $60000 за дві інші уразливості. Всього Гугл виправив 6 дірок в Chrome 33.

За повідомленням www.xakep.ru, Євросоюз прийняв нові закони по захисту персональних даних в Інтернеті.

Європейський парламент проголосував за великий пакет нових законів, що націлені на посилення захисту персональних даних жителів Євросоюзу. Прийняті Євросоюзом закони ще не набрали сили. Вони повинні бути затверджені новим складом парламенту після травневих виборів, а потім одержати схвалення Європейської ради. Проте, інтернет-компаніям можна готуватися до нового правового простору, що незабаром з’явиться в Європі.

У лютому, 20.02.2014, через півтора місяці після виходу Google Chrome 32, вийшов Google Chrome 33.

В браузері зроблено декілька нововведень, в тому числі за замовчуванням активоване блокування плагінів NPAPI (Netscape Plugin Application Programming Interface). А також виправлено 28 уразливостей. 20 з яких позначені як небезпечні та 8 як помірні.

18 уразливостей виявлені співробітниками Google у процесі внутрішнього аудиту кодової бази.

• Выпуск web-браузера Chrome 33 (деталі)