Websecurity - Веб безпека

У травні, 07.05.2015, вийшла нова версія WordPress 4.2.2.

WordPress 4.2.2 це багфікс та секюріті випуск нової 4.2 серії. В якому розробники виправили тринадцять багів та три уразливості. Це критична Cross-Site Scripting уразливість в движку, XSS уразливість в пакеті Genericons (що постачається зі стандартною темою Twenty Fifteen та темами і плагінами інших виробників) та посилений захист від XSS уразливості у візуальному редакторі.

Також в цей день вийшли WordPress 4.0.5 і 4.1.5. Версії 4.0.5 і 4.1.5 це секюріті випуски 4.0 і 4.1 серії, в яких виправлені дані уразливості й баги.

Як я писав, у серпні Українські Кібер Війська взломали сайт Міністерства Оборони РФ.

В серпні та грудні я розмістив детальні відомості про зарплату російських солдатів, зокрема десантника, якого затримали під Донецьком і про прапорщика, техніка взводу, затриманого в під Луганськом. Нещодавно я розмістив нову інформацію з сайту МО РФ про прапорщика.

Оприлюднив та проаналізував інформацію про зарплату солдата Російської Федерації - pdf файли з розрахунковими листками за серпень і листопад 2014 року та квітень 2015 року. Це прапорщик, якого послали воювати в Україну.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://sts-rrada.gov.ua (хакером Nofawkx Al) - 28.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.busk-rda.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015 - похаканий державний сайт, дефейс ще є в папці сайта
• http://www.pyriatyn.org.ua (хакером Nofawkx Al) - 26.02.2015, зараз сайт вже виправлений адмінами
• http://www.psmr.com.ua (хакером Nofawkx Al) - 26.02.2015, зараз сайт вже виправлений адмінами
• http://edutransform.org (хакерами з AntiHackerz) - 14.05.2015, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах Trinity та плагінах Photo Album Plus, Wordfence, Slideshow Gallery, Login Widget With Shortcode. Для котрих з’явилися експлоіти.

• WordPress Trinity Theme Arbitrary File Download (деталі)
• WordPress Photo Album Plus 5.4.4 Cross Site Scripting (деталі)
• WordPress Wordfence 5.2.3 Cross Site Scripting / Bypass (деталі)
• WordPress Slideshow Gallery 1.4.6 Shell Upload (деталі)
• WordPress Login Widget With Shortcode 3.1.1 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://hot-girls.kiev.ua - інфекція була виявлена 30.03.2015. Зараз сайт входить до переліку підозрілих.
• http://posulka.at.ua - інфекція була виявлена 26.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://autoimage.com.ua - інфекція була виявлена 27.04.2015. Зараз сайт входить до переліку підозрілих.
• http://towadojo.kiev.ua - інфекція була виявлена 04.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://naturpharm.com.ua - інфекція була виявлена 06.04.2015. Зараз сайт не входить до переліку підозрілих.

У квітні, 27.04.2015, вийшла нова версія WordPress 4.2.1.

WordPress 4.2.1 це секюріті випуск нової 4.2 серії. В якому розробники виправили одну уразливість. Це критична Cross-Site Scripting уразливість в коментарях.

Також в цей день вийшли WordPress 4.0.4 і 4.1.4. Версії 4.0.4 і 4.1.4 це секюріті випуски 4.0 і 4.1 серії, в яких виправлені дані уразливості й баги.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах Urban City, Epic, Authentic, Antioch та плагіні Rich Counter. Для котрих з’явилися експлоіти.

• WordPress Urban City Arbitrary File Download (деталі)
• WordPress Epic Arbitrary File Download (деталі)
• WordPress Authentic Arbitrary File Download (деталі)
• WordPress Antioch Arbitrary File Download (деталі)
• WordPress Rich Counter 1.1.5 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ojigivcirada.gov.ua (хакером Error 7rB) - 08.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://disg-rivne.gov.ua (хакером Kuroi’SH) - 16.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.newgas.org.ua (хакером 1967) - 15.01.2015, зараз сайт вже виправлений адмінами
• http://www.botoksil.com.ua (хакером Blacksmith Hackers) - 21.02.2015, зараз сайт вже виправлений адмінами
• http://7ass.com.ua (хакером Kuroi’SH) - 13.05.2015, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://igrakot.in.ua - інфекція була виявлена 11.05.2015. Зараз сайт входить до переліку підозрілих.
• http://el.dp.ua - інфекція була виявлена 09.05.2015. Зараз сайт входить до переліку підозрілих.
• http://ce.lviv.ua - інфекція була виявлена 30.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://vip-cars.lviv.ua - інфекція була виявлена 30.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://koledg-knutd.com.ua - інфекція була виявлена 13.05.2015. Зараз сайт не входить до переліку підозрілих.

У квітні, 23.04.2015, вийшла нова версія WordPress 4.2.

WordPress 4.2 це перший випуск нової 4.2 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему по замовчуванню, покращене візуальне редагування, що не відволікає, підтримка багатьох локалізацій і зміна мови в налаштуваннях сайту, в адмінці можна зробити повний логаут (щоб вихід був зроблений для всіх пристроїв, з яких заходили в акаунт), підтримка включення відео з Vine та рекомендації плагінів в інсталяторі плагінів.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Також в цей день вийшов WordPress 4.1.3. Версія 4.1.3 це багфікс випуск 4.1 серії.