Архів для категорії 'Новини сайту'

Вийшов WordPress 4.9.2

22:48 30.03.2018

В січні, 16.01.2018, вийшла нова версія WordPress 4.9.2.

WordPress 4.9.2 це багфікс та секюріті випуск нової 4.9 серії. В якому розробники виправили 21 баг та 1 уразливість. Була виправлена XSS уразливість в Flash fallback файлах в MediaElement.

Також в цій версії зробили звичайні виправлення в движку.

Уразливості в плагінах для WordPress №280

23:59 28.03.2018

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах iThemes Security, Tweet-Wheel, Echosign, Google SEO Pressor Snippet, CM Ad Changer. Для котрих з’явилися експлоіти.

  • WordPress iThemes Security Insecure Backup / Logfile Generation (деталі)
  • WordPress Tweet-Wheel 1.0.3.2 Cross Site Scripting (деталі)
  • WordPress Echosign 1.1 Cross Site Scripting (деталі)
  • WordPress Google SEO Pressor Snippet 1.2.6 XSS (деталі)
  • WordPress CM Ad Changer 1.7.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Похакані сайти №351

20:03 28.03.2018

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://testosvita.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
  • http://portal.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
  • http://richmangroup.com.ua (хакером w0rmexpl0it)
  • http://evrik.com.ua (хакером ReC0ded) - 23.09.2017, зараз сайт вже виправлений адмінам
  • http://ecotestvip.com (хакерами з ToP-TeaM) - 10.12.2017, зараз сайт вже виправлений адмінам

Вийшов WordPress 4.9.1

23:57 27.03.2018

Торік, 29.11.2017, вийшла нова версія WordPress 4.9.1.

WordPress 4.9.1 це багфікс та секюріті випуск нової 4.9 серії. В якому розробники виправили 11 багів та 4 уразливості. Це покращення в CMS, що мають захистити від багатовекторної атаки. Зроблені ескейпінги в декількох функціоналах проти потенційних XSS, для ключа newbloguser зроблене генерування повноцінного хешу та прибрана можливість завантаження JavaScript файлів для непривілейованих користувачів системи.

Також в цій версії зробили звичайні виправлення в движку.

Інфіковані сайти №285

20:01 27.03.2018

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://vbi.od.ua - інфекція була виявлена 31.12.2017. Зараз сайт входить до переліку підозрілих
  • http://profashion.com.ua - інфекція була виявлена 22.02.2018. Зараз сайт не входить до переліку підозрілих
  • http://qant.pp.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
  • http://event-show.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
  • http://stitch.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
  • http://center-ukraine.org.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих
  • http://v13083.dh.net.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих

Уразливості в плагінах для WordPress №279

23:52 26.03.2018

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Multiple Meta Box, Robo Gallery, leenk.me, Kento Post View Counter, Persian Woocommerce SMS. Для котрих з’явилися експлоіти.

  • WordPress Multiple Meta Box 1.0 SQL Injection (деталі)
  • WordPress Robo Gallery 2.0.14 Code Execution (деталі)
  • WordPress leenk.me 2.5.0 Cross Site Request Forgery / Cross Site Scripting (деталі)
  • WordPress Kento Post View Counter 2.8 CSRF / Cross Site Scripting (деталі)
  • WordPress Persian Woocommerce SMS 3.3.2 XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Моє інтерв’ю для ICTV

19:04 26.03.2018

У березні, 02.03.2018, я дав інтерв’ю для телеканалу ICTV. Знявся для даного телеканалу.

Сюжет вийшов 11.03.2018 у програмі “Факти тижня”. В ньому йшлося про кібервійну і про веб безпеку. А також про Українські Кібер Війська, нашу роботу за чотири роки та проведення мною КіберАТО в Інтернеті. Всі бажаючі можуть його подивитися.

Уразливості в плагінах для WordPress №278

23:53 02.03.2018

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Music Store, Visual Form Builder, Photocart Link, Advanced Video та темі Scoreme. Для котрих з’явилися експлоіти.

  • WordPress Music Store 1.0.41 Cross Site Scripting (деталі)
  • WordPress Visual Form Builder 2.8.6 Cross Site Scripting (деталі)
  • WordPress Photocart Link 1.6 Local File Inclusion (деталі)
  • WordPress Scoreme Theme Cross Site Scripting (деталі)
  • WordPress Advanced Video 1.0 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Похакані сайти №350

23:58 01.03.2018

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://osvita-kp.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://belozirmvk.gov.ua (хакером Shade) - 19.10.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://evrik.com.ua (хакером ReC0ded) - 23.09.2017, зараз сайт вже виправлений адмінами
  • http://www.pferd.com.ua (хакером HerCulano)
  • http://militaryaviation.in.ua (хакером Mister Spy) - 27.01.2018, зараз сайт вже виправлений адмінами

Вийшла SecurityAlert 1.4.5

21:32 28.02.2018

У лютому, 25.02.2017, вийшла версія SecurityAlert 1.4.5. Моя система SecurityAlert - це система для інформування про інциденти з безпекою на веб сайтах.

Після виходу SecurityAlert 1.4 у наступних версіях я зробив багато покращень. У версії 1.4.5 додав визначення криптомайнінг малваре (crypto mining malware), покращив роботу з SSL сертифікатами на сайтах та оновив базу даних версій програм. Від початку моя система визначала звичайні віруси на сайтах, а з нової версії також і криптомайнінг віруси на сайтах.

Це перша Security as а service (SaaS) система з таким функціоналом. А весь набір функцій є унікальним в світі.