Websecurity - Веб безпека

У лютому, 02.02.2016, вийшла нова версія WordPress 4.4.2.

WordPress 4.4.2 це багфікс та секюріті випуск нової 4.4 серії. В якому розробники виправили 17 багів та 2 уразливості. Це SSRF та URL Redirector Abuse (open redirection) уразливості.

Також в цей день вийшли WordPress 4.0.10, 4.1.10, 4.2.7 і 4.3.3. Версії 4.0.10, 4.1.10, 4.2.7 і 4.3.3 це секюріті випуски 4.0, 4.1, 4.2 і 4.3 серії, в яких виправлені дані уразливості.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WPML, Reflex Gallery, Yoast Google Analytics, Ajax Search Pro, AB Google Map Travel. Для котрих з’явилися експлоіти.

• WordPress WPML Missing Authentication (деталі)
• WordPress Reflex Gallery 3.1.3 Shell Upload (деталі)
• Yoast Google Analytics Stored Cross Site Scripting (деталі)
• WordPress Ajax Search Pro Remote Code Execution (деталі)
• WordPress AB Google Map Travel CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://rireg.com - інфекція була виявлена 30.01.2016. Зараз сайт входить до переліку підозрілих.
• http://vsetut.in.ua - інфекція була виявлена 01.02.2016. Зараз сайт не входить до переліку підозрілих.
• http://mobuna.com - інфекція була виявлена 01.02.2016. Зараз сайт входить до переліку підозрілих.
• http://add.in.ua - інфекція була виявлена 01.02.2016. Зараз сайт не входить до переліку підозрілих.
• http://tikva.odessa.ua - інфекція була виявлена 01.02.2016. Зараз сайт входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Pie Register, Huge IT Slider, WPML, Yoast SEO і темі Fraction. Для котрих з’явилися експлоіти.

• WordPress Fraction Theme 1.1.1 Privilege Escalation (деталі)
• WordPress Pie Register 2.0.14 Cross Site Scripting (деталі)
• WordPress Huge IT Slider 2.6.8 SQL Injection (деталі)
• WordPress WPML XSS / Deletion / SQL Injection (деталі)
• WordPress SEO By Yoast 1.7.3.3 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://swrailway.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://scinn.nas.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.archivelviv.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.chervonograd-city.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vilnogirskrada.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.lgbtnews.in.ua (хакером d3b~X) - 10.01.2015, зараз сайт вже виправлений адмінами
• http://ukrmetall.com.ua (хакером jangene_cakep) - 03.07.2015, зараз сайт вже виправлений адмінами
• http://ukrmetall.biz (хакером jangene_cakep) - 03.07.2015, зараз сайт вже виправлений адмінами
• http://ukrmetall.net (хакером jangene_cakep) - 03.07.2015, зараз сайт вже виправлений адмінами
• http://proekt.lviv.ua (хакером w4l3XzY3) - 22.12.2015, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gp.gov.ua - інфікований державний сайт - інфекція була виявлена 26.01.2016. Зараз сайт не входить до переліку підозрілих.
• http://prof-legion.com.ua - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.
• http://medsvit.com.ua - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://2service.com.ua - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://kino-planeta.com - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.
• http://redhost.info - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://atmedia.com.ua - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.
• http://7ba.org - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://akciiskidki.com - інфекція була виявлена 31.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://architector.dp.ua - інфекція була виявлена 26.01.2016. Зараз сайт входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Newsletter, Download Manager, Yoast Google Analytics і темі Daily Edition. Для котрих з’явилися експлоіти.

• WordPress Newsletter 2.6.x / 2.5.x Open Redirect (деталі)
• WordPress Download Manager 2.7.2 Privilege Escalation (деталі)
• WordPress Yoast Google Analytics 5.3.2 Cross Site Scripting (деталі)
• WordPress Daily Edition 1.6.2 SQL Injection (деталі)
• WordPress Daily Edition Theme 1.6.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У січні, 06.01.2016, вийшла нова версія WordPress 4.4.1.

WordPress 4.4.1 це багфікс та секюріті випуск нової 4.4 серії. В якому розробники виправили 52 баги та 1 уразливість. Це Cross-Site Scripting уразливість, а також є Full path disclosure, що розробники типово віднесли до багів.

Також в цей день вийшли WordPress 4.0.9, 4.1.9, 4.2.6 і 4.3.2.

У грудні, 08.12.2015, вийшла нова версія WordPress 4.4.

WordPress 4.4 це перший випуск нової 4.4 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему Twenty Sixteen, чуткі зображення (що адаптуються під будь-які пристрої з різними дисплеями), покращення ембедінгу та інше.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://maan.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://fpu4.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bluebayhotel.com.ua (хакерами з TeaM_CC) - 26.08.2015, зараз сайт вже виправлений адмінами
• http://play-karpaty.com (хакером Dr.SiLnT HilL) - 16.10.2015, зараз сайт вже виправлений адмінами
• http://ego-house.com.ua (хакером UluTurk) - 02.11.2015, зараз сайт вже виправлений адмінами