Websecurity - Веб безпека

У серпні, 06.08.2014, вийшла нова версія WordPress 3.9.2.

WordPress 3.9.2 це багфікс та секюріті випуск нової 3.9 серії. В якому розробники виправили декілька багів та 5 уразливостей. Серед виправлених уразливостей:

• виправлений Denial of Service уразливість в обробнику XML движка (XML Blowup Attack DoS).
• виправлений потенційний Code Execution при обробці віджеті (WordPress не вразливий по замовчування).
• виправлена Information Disclosure через XML entity атаки в GetID3 бібліотеці.
• доданий захист проти підбору CSRF токенів (можливість їх підбору була відома багато років, вже одно разу покращували алгоритм генерації токенів, але знову в WP поскаржилися на слабкість алгоритму і вони знову його покращили).
• виправлена Cross-Site Scripting уразливість в адмінці, що розробники назвали “additional security hardening”.

Також для гілок 3.7.x і 3.8.x були випущені версії 3.7.4 і 3.8.4 з виправленням цих уразливостей.

Вісім років тому, 18.07.2006, мій проект розпочав свою роботу. Так що в липні виповнилося вісім років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною був презентований Webcam Monitor, оновлені DAVOSET та Backdoored Web Application.

Також опубліковано багато цікавих статей та досліджень.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mediarnbo.org (проросійськими хакерами) - 09.08.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.zoulg.gov.ua (хакером Nofawkx Al) - 30.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://energomarket.net.ua (хакером Hmei7) - 10.03.2014, зараз сайт вже виправлений адмінами
• http://www.pallet-west.com.ua (хакером d3b~X) - 20.03.2014, зараз сайт вже виправлений адмінами
• http://www.lenivets.info (хакером d3b~X) - 31.03.2014, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах VideoWhisper, Kidoo та DZS VideoGallery. Для котрих з’явилися експлоіти. VideoWhisper - це плагін для трансляції відео, Kidoo - це тема движка, DZS VideoGallery - це плагін для створення відео галерей.

• Multiple Vulnerabilities in VideoWhisper Live Streaming Integration WP Plugin (деталі)
• WordPress Kidoo Shell Upload (деталі)
• WordPress DZS-VideoGallery Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні я дав інтерв’ю каналу Еспресо.TV. Виступив в прямому ефірі даного телеканалу. Це продовження попередньої публікації.

Ефір відбувся з 15:40 до 16:15. В ньому я розповів про Українські Кібер Війська та проведення мною анти-терористичної операції в Інтернеті.

Всі бажаючі, хто бачив прямий ефір на Еспресо.TV і хто не бачив його, можуть подивитися відео фрагменти мого виступу. Це наступні чотири відео:

Сьогодні я дав інтерв’ю каналу Еспресо.TV. Виступив в прямому ефірі даного телеканалу. Продовження.

Ефір відбувся з 15:40 до 16:15. В ньому я розповів про Українські Кібер Війська та проведення мною анти-терористичної операції в Інтернеті.

Всі бажаючі, хто бачив прямий ефір на Еспресо.TV і хто не бачив його, можуть подивитися відео фрагменти мого виступу. Це перші три відео:

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sergeevka.org.ua - інфекція була виявлена 18.08.2014. Зараз сайт входить до переліку підозрілих.
• http://gr.biz.ua - інфекція була виявлена 10.07.2014. Зараз сайт не входить до переліку підозрілих.
• http://meta.ua - інфекція була виявлена 16.08.2014. Зараз сайт не входить до переліку підозрілих.
• http://kust.net.ua - інфекція була виявлена 18.08.2014. Зараз сайт не входить до переліку підозрілих.
• http://childlibrary.donetsk.ua - інфекція була виявлена 26.05.2014. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• DDoS атака на president.gov.ua (КіберБеркут) - 29.07.2014 - атакований державний сайт
• http://www.gaisumy.gov.ua (хакером UAH-Crew) - 14.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://gutszndn.gov.ua (хакером HighTech) - 04.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://turka-culture.gov.ua (хакером LUN4T1C0) - 30.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://turka-rda.gov.ua (хакером LUN4T1C0) - 30.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://promedlab.net (хакером norton) - 20.03.2014, зараз сайт вже виправлений адмінами
• http://ekstramed.com.ua (хакером HighTech) - 20.03.2014, зараз сайт вже виправлений адмінами
• http://vnk1.kiev.ua (хакером d3b~X) - 18.04.2014, зараз сайт вже виправлений адмінами
• http://www.jeansy.com.ua (хакером d3b~X) - 22.05.2014, зараз сайт вже виправлений адмінами
• http://o-doctore.org (хакерами з Tangerang Cyber Army) - 12.06.2014, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Photocrati, Stop User Enumeration та Dandelion. Для котрих з’явилися експлоіти. Photocrati - це тема движка, Stop User Enumeration - це секюріті плагін (для захисту від підбору логінів), Dandelion - це тема движка.

• WordPress Photocrati Cross Site Scripting (деталі)
• WordPress Stop User Enumeration 1.2.4 Bypass (деталі)
• WordPress Dandelion Theme Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dfp.gov.ua - інфікований державний сайт - інфекція була виявлена 10.07.2014. Зараз сайт не входить до переліку підозрілих.
• http://mycargo.com.ua - інфекція була виявлена 02.06.2014. Зараз сайт не входить до переліку підозрілих.
• http://igsu.org.ua - інфекція була виявлена 13.05.2014. Зараз сайт входить до переліку підозрілих.
• http://rks.kr.ua - інфекція була виявлена 07.06.2014. Зараз сайт не входить до переліку підозрілих.
• http://pro-interior.com.ua - інфекція була виявлена 11.06.2014. Зараз сайт не входить до переліку підозрілих.
• http://vechirka.pl.ua - інфекція була виявлена 29.07.2014. Зараз сайт входить до переліку підозрілих.
• http://kep.kr.ua - інфекція була виявлена 07.06.2014. Зараз сайт не входить до переліку підозрілих.
• http://prichernomorie.com.ua - інфекція була виявлена 26.05.2014. Зараз сайт не входить до переліку підозрілих.
• http://teza.in.ua - інфекція була виявлена 13.06.2014. Зараз сайт не входить до переліку підозрілих.
• http://sintal.com.ua - інфекція була виявлена 19.06.2014. Зараз сайт не входить до переліку підозрілих.