Websecurity - Веб безпека

Позавчора, 03.04.2007, вийшли нові версії WordPress: 2.1.3 та 2.0.10 (відповідно для гілок WP 2.1.x та 2.0.x).

Дані версії є секюріті оновленнями для обох гілок 2.1 та 2.0 WordPress. І вони дуже рекомендовані для всіх користувачів Вордпреса.

В цих релізах виправлені деякі вже відомі XSS уразливості та одна XML-RPC дірка. А також проведена серйозна профілактична чистка коду движка для захисту від майбутніх проблем.

Деякий час тому вийшов Invision Power Board v2.2.2, тому всім хто користується движком IPB, раджу звернути увагу на нову версію. Мій форум вже був переведений в березні на нову версію.

• Русская версия Invision Power Board v2.2.2 (деталі)

Компанія IBResource офіційно повідомляє про випуск нової російської версії форуму Invision Power Board v2.2.2. Нова версія несе в собі максимальну надійність, безпеку і локалізацію, при цьому не ідучи далеко від англомовного оригіналу.

Це наступна офіційна локалізована версія Invision Power Board, після IPB 2.1.7, випущена IBResource. В якій багато уваги було приділено безпеці.

У новій версії 2.2.2 разом з партнерами компанії IPS, Inc. були досліджені нові методи безпеки і зроблені необхідні зміни в програмном коді для переведення безпеки на більш високий рівень. При запуску форуму на новітньому PHP 5.2.x система може використовувати захищені cookies, що практично зводять до нуля можливість застосування XSS атак.

На початку місяця, 02.03.2007, вийшла нова версія WordPress 2.1.2. Як повідомляється на офіційному сайті в записі “WordPress 2.1.1 dangerous, Upgrade to 2.1.2″, всім користувачам WP 2.1.1 варто оновити свій движок до версії 2.1.2.

Не одразу звернув увагу на цю подію, в зв’язку з власними проблемами з доступом в інтернет, які в мене тягнуться вже 12 діб, і, як виявилося, у Вордпресовців також є проблеми. Про що і повідомляю, бо це доволі серйозна новина - жара ще та, не одним Місяцем багів в PHP видався березень.

Головна причина виходу цієї версії полягає в тому, що сервер розробників WordPress був похаканий (це міг зробити як зовнішній зловминсник, так й інсайдер) та були змінені деякі файли в архиві з версією WP 2.1.1 - зловмисник встановив секюріті експлоіт в код движка. Інші версії WP не постраждали. Тому всім хто викачував дану версію наприкінці лютого - початку березня дуже рекомендується оновити свій движок до версії 2.1.2.

Цей факт був виявлений одним з користувачів WP, який як раз скачав дану версію і примітив підозрілий та некоректний код. Й повідомив розробникам движка. Які перевіривши даний код прийшли до висновку, що це експлоіт і випустили оновлену версію WP. Даний експлоіт надавав зловмиснику можливість проводити Remote PHP Execution атаки.

В новій версії додані деякі невеличкі виправлення та повністю перевірений код всіх файлів движка. А також розробники WordPress провели додаткові організаційні та технічні заходи на сервері для покращення його безпеки. І вони обіцяють прикласти всіх зусиль, щоб подібне більше не повторилося (у тому числі і за рахунок постійної зовнішньої перевірки опублікованих дистрибутивів).

До речі, в минулому місяці вийшла нова версія PHP. На початку лютого вийшов реліз PHP 5.2.1, в якому було виправлено 19 помилок пов’язаних з безпекою і близько 180 інших недоробок.

Зміни пов’язані з безпекою:

• Обхід safe_mode і open_basedir через розширення session;
• Доданий захист від індексування phpinfo() сторінок пошуковими системами;
• Ряд проблем в обробці вхідного потоку в розширенні filter;
• Уразливість у коді функції unserialize() на 64-бітних системах;
• Переповнення буфера і псування вмісту стека в розширенні session;
• Спосіб виклику функції внутрішнього API sapi_header_op();
• Серія проблем пов’язаних з розподілом пам’яті;
• Переповнення стека в розширеннях zip, imap і sqlite;
• Декілька переповнень буферів у потокових фільтрах;
• Відсутність перевірки користувацького введення у функціях звільнення ресурсів у розширенні shmop;
• Переповнення буфера у функції str_replace();
• Можливість зміни значень системних глобальних змінних у деяких блоках коду;
• Витік інформації в розширенні wddx;
• Помилка форматування рядка у функціях *print() на 64-бітних системах;
• Переповнення буфера усередині функцій mail() та ibase_{delete,add,modify}_user();
• Помилка форматування рядка у функції odbc_result_all();
• Memory limit тепер включений за замовчуванням і дорівнює 128 МБ;
• Додані засоби захисту від переповнення кучі;
• У розширенні filter додана підтримка $_SERVER у CGI та apache2 SAPI.

По матеріалам http://www.opennet.ru.

Позавчора вийшла нова версія програми Perl Pas Interpreter v.1.2.9. В новій версії:

• Додана функція tan.
• Додана функція cotan.
• Виправлена XSS уразливість в функції виводу.
• Тепер у функціях Write та Writeln присутній анти XSS фільтр.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Позавчора вийшли нові версії WordPress: 2.1.1 та 2.0.9 (відповідно для гілок WP 2.1.x та 2.0.x).

Версія 2.1.1 є заміною WordPress 2.1, першої версії з нової гілки WP. А версія 2.0.9 є заміною для WordPress 2.0.7 (версія 2.0.8 пропущена, так як цей реліз був помічений для Debian).

В версії 2.1.1 включено біля 30 виправлень уразливостей та багів. В версії 2.0.9 включені лише секюріті оновлення (пов’язані з кодом протидії XSS). Дана версія не буде більше поповнюватися новими функціями (розвиватися буде лише 2.1.x гілка та нові), але для гілки 2.0.x будуть виходити оновлення безпеки аж до 2010 року.

Ці релізи є низько-середньо пріоритетним оновленням і рекомендовані для всіх користувачів Вордпреса.

Нещодавно, 22.01.2007 вийшов новий реліз WordPress 2.1 (Ella), лише через тиждень після виходу WordPress 2.0.7.

WordPress 2.1 - це нова гілка WP, яка буде розвиватися окремо від 2.0.x (оновлення будуть випускатися паралельно, але основна увага буде приділена розвитку саме 2.1.x гілки). В цій версії зроблено чимало виправлень помилок та уразливостей (всього в версії 2.1 більше 550 виправлень), та додано нові функції.

В новій версії:

• Функція автозбереження (autosave).
• Новий редактор з закладками (табами), що дозволить прямо під час написання записів миттєво перемикатися між режимами WYSIWYG та редагування коду.
• Імпор та експорт XML без втрат.
• В новому переробленому візуальному редакторі з’явилася перевірка орфографії (spell checker).
• Нова опція приватності від пошуковців (search engine).
• Можливість виставляти будь яку “сторінку” головною сторінкою.
• Оновлений та більш ефективний код роботи з БД (більш шивидкий).
• В лінки додана підтримка підкатегорій.
• Перероблена логін сторінка.
• Більше AJAX функціоналу в інтерфейсі, для швидкої та зручної роботи.
• Сторінки тепер можуть бути як чернетка чи приватна.
• Оновлена адмінка.
• Дошка оголошень зараз процює миттєво та асинхронно скачує RSS фіди в фоні.
• В фіді кометарів зараз включені всі коментарі, а не лише 10.
• Краща інтернаціоналізація.
• Менеджер заватажень дозволяє з легкістю керувати зображеннями, відео та аудио.
• В поставку входить нова версія плагіна Akismet.
• Та багато іншого.

Нові функції для розробників:

• Псевдо-cron функціональність.
• Покращене керування юзерами для адміна.
• Новий WP_Error клас для виведення помилок.
• Новий завантажувач javascript для розробників плагінів.
• Тонни нових хуків та API.
• Розпочато вбудоване документування коду.
• Нове API для зображень та ногітків для розробників плагінів.
• Власні заголовки, вибирачі кольору та обрізачі зображень фреймворки.

Починаючи з цієї версії розвиток Вордпресу піде по гілці 2.1 (та наступним), але попередня гілка 2.0 буде підтримуватися аж до 2010 (будуть випускатися виправлення помилок та уразливостей).

Очікується, що наступна версія WP з’явиться 23 квітня.

Хоча лише нещодавно вийшов WordPress 2.0.6, учора, 15.01.2007, вийшла нова версія WordPress 2.0.7 - всього лише через 10 днів після виходу попередньої версії.

WordPress 2.0.7 - це секюріті фікс, причому терміновий фікс. Причина випуску даного релізу в тому, що майже одразу після виходу версії 2.0.6, була знайдена серйозна уразливість та був випущений експлоіт для WP 2.0.6, який дозволяв захопити адмінський аккаунт (я вже давно планую розповісти про цей експлоіт, а також вже написав свою версію експлота і як доберусь, розповім про це детальніше).

Тому на даний час WP 2.0.7 - це останній стабільний реліз Вордпреса, вже доступний для скачування з сайта виробника. І який рекомендований всім користувачам цього движка.

Список змін в новий версії порівняно з 2.0.6:

• Секюріті фікс для wp_unregister_GLOBALS() для виправлення zend_hash_del_key_or_index бага в PHP 4 < 4.4.3 та PHP 5 < 5.1.4 з включеними register_globals.
• Фіди тепер нормально обробляють 304 Not Modified заголоки (виправлений так званий FeedBurner баг).
• Порт ще одного виправлення для 304 Not Modified з WordPress 2.1.
• Видалення сторінок в WordPress більше не виводить “Are You Sure?” діалог.
• Після видалення сторінок в WP, зараз коректно редиректить на екран редагування сторінок.
• Відправлення зображень в орігіальному розмірі в Internet Explorer більше не додає некоректний “height” атрибут.

Тиждень тому, 05.01.2007, вийшла нова версія движку WordPress 2.0.6 (не одразу написав про це, так як був дуже заклопотаний останнім часом). Всім хто використовує попередні версії движка рекомендується оновити движок своїх сайтів. Але дуже поспішати не варто, тому що і в новій версії існують уразливості (про що я буду розповідати), які потібно буде виправляти, тому виважено підходьте до апгрейда.

WordPress 2.0.6 - це останній стабільний реліз Вордпреса, який доступний для скачування з сайта виробника. В цьому релізі було виправлено чимало уразливостей та помилок, тому в першу чергу це секюріті фікс випуск, і розробники всім рекомендують оновити свій движок. В цій версії також виправили чимало дір, про які я згадував в записах Численні уразливості в WordPress та Нові уразливості в WordPress (але ще є дірі, які потрібно виправляти).

Серед головних оновлень цієї версії:

• Численні секюріті виправлення
• Підтримка HTML quicktags для браузера Safari
• Фільтрація коментарів, для запобігання псуванню ними дизайна блога
• Сумісність з PHP/FastCGI налаштуванням

Для розробників була зроблена нова анти-XSS функція та новий фільтр SQL запитів (зокрема і на моє прохання, бо доводилося багато разів звертати увагу розробників WP на існуючі недоліки). Розробникам плагінів та додатків для WordPress рекомендується використовувати нові функції.

Вчора випустив нову версію програми MustLive/BPG MySQL Perl/CGI Client v1.06.

В новій версії 1.06:

• Виправив визначення форматів колонок-полів зі застарілого $sth->{’format_type_name’} на $sth->{’TYPE’} (для нових версій DBI).
• Виправив XSS уразливість в “SQL запит до Бази Даних” і унеможливив XSS атаки через додавання даних в БД та їх редагування.
• Зробив деякі невеличкі виправлення.

У власних розробках я також слідкую за безпекою, не тільки ж на інших сайтах шукати уразливості . Тому використовуючи мої програми можна бути впевненими в їх безпеці.

Додаткова інформація про MySQL Perl/CGI Client в розділі Онлайн інструменти.