Websecurity - Веб безпека

Три дні тому, 25.04.2008, вийшла нова версія WordPress 2.5.1 - оновлення для гілки WP 2.5.x.

WordPress 2.5.1 це багфікс та секюріті випуск для 2.5 серії. В даній версії була виправлена Insufficient Authorization уразливість (Cookie Integrity Protection Vulnerability), про яку я писав. Що дозволяла отримати доступ до акаунта адміністратора. Також була виправлена XSS уразливість.

На доданок до секюріті виправлень в версії 2.5.1 також виправлено 70 багів. Зокрема, були зроблені наступні виправлення:

• Покращення швидкодії для сторінок Dashboard, Write Post та Edit Comments.
• Краща швидкодія для тих, хто має багато категорій.
• Виправлення в Media Uploader.
• Апгрейд до TinyMCE 3.0.7.
• Виправлення в Widget Administration.
• Різноманітні покращення юзабіліті.
• Виправлена розмітка для IE.

Опубліковано невелике оновлення безпеки, адресоване для виправлення можливих уразливостей в Invision Power Board. Дірка може проявитися тільки при включених додаткових BB-кодах на форумі і тільки при визначеному їхньому використанні. При цих обставинах можлива вставка шкідливого html коду. Додатково у виправленні усунуті проблеми безпеки при використанні flash і помилка з автовизначенням переходу на літній/зимовий час.

Зокрема, в даному секюріті патчі для IPB 2.3.x виправлена знайдена мною XSS уразливість в IPB, про яку я вже писав.

• Исправления безопасности в Invision Power Board 2.3.x (деталі)

Чотири дні тому, 29.03.2008, вийшла нова версія WordPress 2.5.

Дана версія WordPress 2.5 (що вийшла після версії 2.3.3) - це значне оновлення движка. В цій версії WP додана велика кількість нововведень та покращень.

Нові функції для користувачів:

1. Cleaner, faster, less cluttered dashboard.
2. Dashboard Widgets.
3. Multi-file upload with progress bar.
4. Bonus: EXIF extraction.
5. Search posts and pages.
6. Tag management.
7. Password strength meter.
8. Concurrent editing protection.
9. Few-click plugin upgrades.
10. Friendlier visual post editor.
11. Built-in galleries.

Нові функції для розробників:

1. Salted passwords.
2. Secure cookies.
3. Easy taxonomy and URL creation.
4. Inline documentation.
5. Database optimization.
6. $wpdb->prepare().
7. Media buttons.
8. Shortcode API.

Стосовно покращень безпеки слід відмітити Salted passwords, Secure cookies та $wpdb->prepare(). Що повинно покращити рівень безпеки движка. Але зазначу, що розробникам WP є над чим працювати - учора я вже писав про уразливість в WordPress, що також має місце в 2.5 . Тому це перша офіційна дірка в WP 2.5.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.1. В новій версії:

• Додана підтримка функцій в циклах repeat until.
• Додана підтримка вкладених циклів в циклах repeat until. До будь-якого рівня вкладеності.
• Покращена підтримка складних арифметичних виразів.
• Покращена робота функцій pred та succ з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4. В новій версії:

• Додана підтримка циклів repeat until.
• В операторі repeat until підтримуються арифметичні вирази.
• Обмеження ($loop) дійсне для циклів repeat until так само як для міток.
• Покращена робота оператора if зі змінними та масивами.
• Покращена робота функцій delete, insert та copy зі змінними та масивами.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Два дні тому, 05.02.2008, вийшла нова версія WordPress 2.3.3 - оновлення для гілки WP 2.3.x.

WordPress 2.3.3 це секюріті випуск для 2.3 серії. В даній версії була виправлена уразливість в реалізації XML-RPC. Дана уразливість дозволяє будь-якому зареєстрованому користувачу редагувати пости будь-яких інших користувачів на сайті.

На доданок до виправлення цієї дірки в версії 2.3.3 також виправлено декілька невеликих багів.

В першій половині січня вийшов Invision Power Board v2.3.4, тому всім хто користується движком IPB, раджу звернути увагу на нову версію.

• Invision Power Board (IP.Board) v2.3.4 (деталі)

Компанія IBResource повідомляє про вихід російської версії Invision Power Board v2.3.4.

Цей дистрибутив містить у собі виправлення декількох десятків помилок, що були виявлені в попередній версії 2.3.3.

P.S.

Найближчим часом розробникам доведеться випускати нову версію движка, після того як я їм повідомлю про уразливості в IPB.

Позавчора вийшла нова версія програми Perl Pas Interpreter v.1.3.7. В новій версії:

• Додана підтримка функцій в циклах while.
• Додана підтримка вкладених циклів в циклах while. До будь-якого рівня вкладеності.
• Покращена підтримка функцій в операторі if та циклі for.
• Виправлені дебаг надписи в операторі присвоєння.
• Покращена робота функцій chr та ord з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

На початку місяця, 03.01.2008, вийшов PHP 4.4.8, у якому виправлено багато помилок та уразливостей. Даний реліз направлений на покращення безпеки та стабільності гілки 4.4.x (котра вже не розвивається і випуск секюріті оновлень буде припинено 8 серпня цього року).

Серед секюріті покращень та виправлень в PHP 4.4.8:

• Покращене виправлення для MOPB-02-2007.
• Виправлене цілочислене переповнення буферу в chunk_split().
• Виправлене цілочислене переповнення буферу в str[c]spn().
• Виправлена регресія в glob при вімкненому open_basedir (що з’явилася після фікса бага #41655).
• Виправлена money_format(), що не приймала багатократні токени %i та %n.
• Додана “max_input_nesting_level” опція в php.ini для обмеження рівнів вкладенності вхідних змінних. Виправлення для MOPB-03-2007.
• Виправлена INFILE LOCAL опція при роботі з MySQL - щоб не дозволяти при активному open_basedir чи safe_mode.
• Виправлені session.save_path та error_log значення, що будуть перевірятися стосовно open_basedir та safe_mode.

По матеріалам http://www.php.net.

Наприкінці грудня, 29.12.2007, вийшла нова версія WordPress 2.3.2 - оновлення для гілки WP 2.3.x.

WordPress 2.3.2 це багфікс та секюріті випуск для 2.3 серії. В даній версії було виправлено багато багів та уразливостей, в тому числі серйозних уразливостей, про які я писав в грудні.

Зазначу, що в офіційному пості на сайті зазначені не всі виправлення, а лише частина - про деякі виправлення зумисно не було повідомлено в пості. Про них можна дізнатися лише подивившися детальну інформацію про зміни в файлах. На сторінці Trac з переліком виправлень також наведені не всі виправлення (зокрема не всі секюріти фікси).

Офіційно розробники WP повідомили, що в WordPress 2.3.2 виправлений баг з витоком інформації про чорнетки, а також пофіксені Information disclosure уразливості (виявлені мною), та були виправлені витоки інформації в XML-RPC та APP реалізаціях. В якості бонуса, в версії 2.3.2 була додана можливість задавати власну сторінку з повідомленнями про помилки в БД.

Як наводиться в Trac були виправлені наступні баги та уразливості:

• Покращена швидкодія роботи системи (оптимізовані функції sanitize_post та sanitize_post_field)
• По замовчуванню не виводяться повідомлення про помилки в БД (поки не встановлено WP_DEBUG в true). Нарешті вони зробили те, про що я просив їх ще в жовтні 2006, коли знайшов перші SQL DB Structure Extraction в WP
• Власна DB Error Page
• Обмежений витік інформації в XML-RPC
• Виправлена дірка в query.php, що приводила до витоку інформації про чорнетки
• Скрипти setup-config.php та install.php тепер перевіряють на коректний зв’язок з MySQL

Але це не вся інформація про секюріти виправлення в WP 2.3.2. Як повідомив Peter Westwood в своєму пості WordPress 2.3.2 in detail, в даній версії було зроблено набагато більше виправлень (ніж повідомлено в офіційному пості).

Він навів 12 найбільш важливих виправлень. Окрім вище наведених (в Trac) 6 виправлень, також відзначу наступні:

• Введені різні правила для різних типів URI
• Виправлена XSS уразливість в wp-mail.php
• Обмежений витік інформації в xmlrpc методі wp.getAuthors
• Додані додаткові перевірки в методах xmlrpc
• Додані додаткові перевірки в APP сервері
• Виправлена функція validate_file() для протидії Directory traversal (на Windows) - про численні Local file include, Directory traversal та інші уразливості (що були виправлені в даній версії) я писав раніше

Зазначу, що хоча в цій версії виправленні численні Directory traversal та Local file include та Information disclosure уразливості (знайдені мною), а також відключене по дефолту виведення помилок роботи з БД (що я пропонував їм зробити ще в 2006 році), розробники жодного разу не згадали про мою допомогу, що є дуже нечемно. Більш того, вони не відповіли на більшість з моїх останніх листів і не подякували мені, лише тихенько виправили дірки (і навіть не про всі з них згадали в офіційному пості), що дуже несерйозно з їхнього боку.

Також зазначу, що дані уразливості, про котрі я писав в грудні, виправлені лише в версії WP 2.3.2 (тобто в гілці 2.3.x). Всі попередні версії, зокрема гілки 2.0.x, 2.1.x та 2.2.x (в тому числі останні версії в цих гілках) є вразливими.