Websecurity - Веб безпека

У травні, 16.05.2017, вийшла нова версія WordPress 4.7.5.

WordPress 4.7.5 це багфікс та секюріті випуск нової 4.7 серії. В якому розробники виправили 3 баги та 6 уразливостей. Це URL Redirector Abuse, CSRF уразливість, 2 XSS уразливості та відсутність перевірки даних в XML-RPC API (дві дірки).

Також в цей день вийшли WordPress 4.0.17, 4.1.17, 4.2.14, 4.3.10, 4.4.9, 4.5.8 і 4.6.5. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3, 4.4, 4.5 і 4.6 серії, в яких виправлені дані уразливості.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ub.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://conference.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tarascha.parafia.in.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://stefan.vald.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://dityacha-rezidencia.kiev.ua (хакером GeNErAL) - 13.01.2017, дві сторінки хакера все ще розміщені на сайті

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Neuvoo-Jobroll, Ajax Load More, WP Fastest Cache, Users Ultra, Calls To Action. Для котрих з’явилися експлоіти.

• WordPress Neuvoo-Jobroll 2.0 Cross Site Scripting (деталі)
• WordPress Ajax Load More PHP Upload (деталі)
• WP Fastest Cache 0.8.4.8 Blind SQL Injection (деталі)
• WordPress Users Ultra 1.5.50 Unrestricted File Upload (деталі)
• WordPress Calls To Action 2.4.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://chasy.com.ua - інфекція була виявлена 31.05.2017. Зараз сайт входить до переліку підозрілих.
• http://orion-sparta.com - інфекція була виявлена 14.01.2017. Зараз сайт не входить до переліку підозрілих.
• http://stream-ts.com - інфекція була виявлена 14.01.2017. Зараз сайт входить до переліку підозрілих.
• http://dosk.kiev.ua - інфекція була виявлена 31.05.2017. Зараз сайт не входить до переліку підозрілих.
• http://talmix.com.ua - інфекція була виявлена 31.05.2017. Зараз сайт входить до переліку підозрілих.

У квітні, 20.04.2017, вийшла нова версія WordPress 4.7.4.

WordPress 4.7.4 це багфікс випуск нової 4.7 серії. В якому розробники виправили 47 багів.

Також в цей день вийшли WordPress 4.0.17, 4.1.17, 4.2.14, 4.3.10, 4.4.9, 4.5.8 і 4.6.5. Вказані версії це багфікс випуски 4.0, 4.1, 4.2, 4.3, 4.4, 4.5 і 4.6 серії, в яких виправлені дані уразливості.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Easy2Map, Support Ticket System, Font, Pie Register, Events Made Easy. Для котрих з’явилися експлоіти.

• WordPress Easy2Map 1.2.9 Cross Site Scripting (деталі)
• WordPress Support Ticket System 1.2 SQL Injection (деталі)
• WordPress Font 7.5 Path Traversal (деталі)
• WordPress Pie Register 2.0.18 SQL Injection (деталі)
• WordPress Events Made Easy 1.5.49 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://maan.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rksu.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://stavysche.parafia.in.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://rokytne.parafia.in.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://mediaxpress.com.ua (хакером BILGEKULTIGIN) - 21.05.2017, сторінка хакера все ще розміщена на сайті

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах mTheme-Unus, U-Design та плагінах Payment Form For PayPal Pro, ResAds, Easy2Map. Для котрих з’явилися експлоіти.

• WordPress mTheme-Unus Local File Inclusion (деталі)
• WordPress U-Design Theme 2.7.9 Cross Site Scripting (деталі)
• WordPress Payment Form For PayPal Pro 1.0.1 XSS (деталі)
• WordPress ResAds 1.0.1 Cross Site Scripting (деталі)
• WordPress Easy2Map 1.2.9 Local File Inclusion / Directory Traversal (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://rossignol.kiev.ua - інфекція була виявлена 23.05.2017. Зараз сайт входить до переліку підозрілих.
• http://romsat.tv - інфекція була виявлена 21.01.2017. Зараз сайт не входить до переліку підозрілих.
• http://beta.dostavka-obedov.kiev.ua - інфекція була виявлена 23.05.2017. Зараз сайт входить до переліку підозрілих.
• http://dostavka-obedov.kiev.ua - інфекція була виявлена 23.05.2017. Зараз сайт не входить до переліку підозрілих.
• http://2rest.com.ua - інфекція була виявлена 23.05.2017. Зараз сайт входить до переліку підозрілих.

У травні, 17.05.2017, я виступив у прямому ефірі на 5 каналі.

Ефір відбувся в програмі “ІнфоДень”. В ньому йшлося про заборону доступу до російських соцмереж та інших санкційних сайтів, згідно з указом президента від 16.05.2017. А також про Українські Кібер Війська, нашу роботу за три роки та проведення мною КіберАТО в Інтернеті. Всі бажаючі можуть його подивитися.