Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP AssetManager, Remote Cross Site Scripting (XSS) and Unauthorized Data Modification (деталі)
• phptax 0.8 <= Remote Code Execution Vulnerability (деталі)
• XSS Vulnerabilities in phpFreeChat (деталі)
• Omnistar Mailer v7.2 - Multiple Web Vulnerabilities (деталі)
• DoS vulnerability in libxslt (деталі)
• Interspire Email Marketer v6.0.1 - Multiple Vulnerabilites (деталі)
• Omnistar Document Manager v8.0 - Multiple Vulnerabilities (деталі)
• vOlk Botnet Framework v4.0 - Multiple Web Vulnerabilities (деталі)
• Iomega StorCenter/EMC Lifeline Remote Access Vulnerability (деталі)
• FileBound - Privilege Escalation Vulnerability (деталі)

19.06.2012

У травні, 19.05.2012, я знайшов Information Leakage уразливість в веб сервері Apache. Про що найближчим часом повідомлю розробникам Apache httpd.

Раніше я вже писав про уразливість в Apache.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам додатку.

31.10.2012

Information Leakage:

В функціоналі Apache Server Status відбувається витік інформації - зокрема про запити до сервера (до всіх віртуальних хостів на ньому), при включеному ExtendedStatus. Про цей функціонал мені відомо ще з 2001 року, але лише в цьому році я дослідив його з точки зору безпеки.

http://site/server-status/

Також можуть використовуватися параметри notable, auto і refresh.

Цей функціонал знаходиться в модулі mod_status. По замовчуванню він відключений, але випадково чи навмисно (не розуміючи секюриті ризиків) він може бути включений та ще й без обмежень по IP для доступу до статусу. Папка /server-status/ - це шлях по замовчуванню і він може бути змінений в httpd.conf (але в основному використовується саме цей шлях).

Окрім Information Leakage також можлива DoS атака, якщо включена директива ExtendedStatus (доступна починаючи з Apache 1.3.2). Зазначу, що починаючи з версії 2.3.6 включення mod_status призводить до включення ExtendedStatus по замовчуванню. На можливість навантажити сервер при включеному ExtendedStatus звертають увагу і розробники в документації. Це при тому, що Server Status включений (і публічно доступний) на офіційному сервері Apache та ще й з розширеним статусом. Тобто самі вони не стали на це звертати увагу і проігнорували моє звернення про включений і публічно доступний Server Status у них на сервері та необхідність обмежити доступ до нього паролем (для виправлення IL уразливості в mod_status, а також захисту від DoS атак).

http://apache.org/server-status/

Уразливі Apache 1.1 - 2.4.3, що включають mod_status.

Лише в Гуглі (на запит intitle:”Apache Status”) можна знайти біля 5030 проіндексованих сайтів, частина з яких - це сторінки server-status (реальна кількість таких сайтів в Інтернеті значно більша).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Better WP Security, Slideshow та Archin. Для котрих з’явилися експлоіти. Better WP Security - це секюріті плагін для движка, Slideshow - це плагін для створення слайдшоу, Archin - це комерційна (преміум) тема движка.

• Better WP Security v3.4.3 Wordpress - Web Vulnerabilities (деталі)
• Multiple Vulnerabilities in Wordpress Slideshow Plugin (деталі)
• WordPress Archin Theme Unauthenticated Configuration Access (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP StorageWorks File Migration Agent RsaFTP.dll Remote Code Execution Vulnerability (деталі)
• Cross-Site Scripting (XSS) Vulnerabilities in Flogr (деталі)
• Multiple Vulnerabilities in TorrentTrader 2.08 (деталі)
• Atlassian Confluence Wiki XSS Vulnerability (деталі)
• HP StorageWorks File Migration Agent RsaCIFS.dll Remote Code Execution Vulnerability (деталі)
• Vbulletin (blog_plugin_useradmin) v4.1.12 Sql Injection Vulnerability (деталі)
• Axis VoIP Manager v2.1.5.7 - Multiple Web Vulnerabilities (деталі)
• NeoBill CMS v0.8 Alpha - Multiple Web Vulnerabilities (деталі)
• Microsoft Windows Unauthorized Digital Certificates (деталі)
• Switchvox Asterisk v5.1.2 - Multiple Web Vulnerabilities (деталі)

Сьогодні я виявив Cross-Site Scripting уразливість в CorePlayer. Це флеш відео плеєр, що використовується на vybory2012.gov.ua та webvybory2012.ru - сайтах онлайн трансляції виборів в Україні та Росії. Розробники цих сайтів використали один і той же самий дірявий флеш відео плеєр.

XSS:

http://site/core_player.swf?callback=alert(document.cookie)

Уразливі CorePlayer 4.0.6 та попередні версії. На сайті webvybory2012.ru використовується версія 1.3.2, а на сайті vybory2012.gov.ua - 4.0.6.

Подібно до уразливості на vybory2012.gov.ua, аналогічна уразливість є на сайті http://webvybory2012.ru. Сьогодні я знайшов Cross-Site Scripting уразливість на цьому сайті, де відбувалася онлайн-трансляція на цьогорічних виборах президента Росії.

XSS:

• alert(document.cookie)
• цікавий

На сайті використовується той же дірявий флеш відео плеєр - з тією самою XSS уразливістю (лише версія флешки на українському сайті більш новіша, але вона так само дірява).

Як видно з цієї флешки та уразливості в ній, за безпекою російського сайту для трансляції виборів так само погано слідкували. А також видно те, що наші урядовці не тільки ідею відео-трансляцій скопіювали у росіян, так ще й той же флеш відео плеєр використали з аналогічною діркою. Самі вони ні до чого не спромоглися додумалися, в тому числі до проведення аудиту безпеки веб сайта.

Сьогодні в Україні вибори до Парламенту. Я вже проголосував і всім українцям, хто ще не встиг, раджу це зробити.

А тим часом зверну вашу увагу на дірявість сайта http://vybory2012.gov.ua, де відбувається онлайн-трансляція виборів. Сьогодні, ще перед голосуванням, я знайшов Cross-Site Scripting уразливість на цьому сайті (а також інші уразливості, ця одна з найменш небезпечних).

XSS:

• alert(document.cookie)
• цікавий

По капчам на всіх зовнішніх сторінках сайта здається, що vybory2012.gov.ua засекюрений. Але це лише на перший погляд. Як видно з цієї та інших дірок на сайті, за його безпекою особливо не слідкували. При тому що на веб камери для голосування, сюди ж входить і створення веб сайта, уряд виділив майже 1 мільярд гривень (993,6 мільйонів). Але, враховуючи розкрадання коштів, на безпеку не вистачило (подібно до інших державних сайтів).

20.08.2012

У серпні, 12.08.2012, я виявив численні Content Spoofing та Cross-Site Scripting уразливості в Bitrix Site Manager. Які обходять WAF та захисні фільтри Bitrix. Уразливості були виявлені на www.1c-bitrix.ua та www.1c-bitrix.ru. Про що на минулому тижні вже повідомив розробникам системи.

Раніше я вже писав про уразливості в Bitrix.

Детальна інформація про уразливості з’явиться пізніше.

20.10.2012

XSS:

http://site/bitrix/components/bitrix/player/mediaplayer/player.swf?playerready=alert(document.cookie)

Та інші Content Spoofing та Cross-Site Scripting уразливості в JW Player, що використовується в Bitrix (версія JW Player Pro).

CS:

http://site/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=http://site

XSS:

http://site/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі Bitrix Site Manager 11.5 та попередні версії.

Розробник виправив уразливість в CMS шляхом видалення даного флеш файла.

В даній добірці уразливості в веб додатках:

• DomsHttpd 1.0 <= Remote Denial Of Service (деталі)
• Apache Wicket XSS vulnerability via manipulated URL parameter (деталі)
• SQL Injection in Dr.Web Anti-virus (деталі)
• SEO New York (prod.php?id) Remote SQL injection Vulnerability (деталі)
• RSA Authentication Manager Multiple Vulnerabilities (деталі)
• ES Job Search Engine v3.0 - SQL injection vulnerability (деталі)
• TP Link Gateway v3.12.4 - Multiple Web Vulnerabilities (деталі)
• eFront Enterprise v3.6.11 - Multiple Web Vulnerabilities (деталі)
• EMC Documentum Information Rights Management Multiple Vulnerabilities (деталі)
• Ektron CMS - Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Google Analytics, NextGEN Gallery та Tierra Audio. Для котрих з’явилися експлоіти. Google Analytics - це плагін для розміщення рахівника Analytics Гугла, NextGEN Gallery - це плагін для створення галерей зображень, Tierra Audio - це аудіо плагін.

• WordPress Google Analytics 4.2.4 Cross Site Scripting (деталі)
• WordPress NextGEN Gallery 1.9.5 Cross Site Scripting (деталі)
• WordPress Tierra Audio Path Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.