Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Symantec Endpoint Protection SemSvc.exe AgentServlet Remote Code Execution Vulnerability (деталі)
• Unirgy uStoreLocator SQL Injection - Magento extension (деталі)
• CMSQLITE v1.3.2 - Multiple Web Vulnerabiltiies (деталі)
• Multiple vulnerabilities in Template CMS (деталі)
• SAP Crystal Reports crystalras.exe OBUnmarshal Remote Code Execution Vulnerability (деталі)
• Multiple vulnerabilities in OpenX (деталі)
• Multiple vulnerabilities in jCore (деталі)
• Multiple vulnerabilities in Subrion CMS (деталі)
• (0Day) HP Diagnostics Server magentservice.exe Remote Code Execution Vulnerability (деталі)
• Multiple vulnerabilities in AContent (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах GRAND Flash Album Gallery, Spider Calendar та Shopp. Для котрих з’явилися експлоіти. GRAND Flash Album Gallery - це плагін для створення фото галерей, Spider Calendar - це органайзер і календар, Shopp - це плагін для створення онлайн-магазина.

• Multiple Vulnerabilities in Wordpress GRAND Flash Album Gallery Plugin (деталі)
• WordPress Spider 1.0.1 SQL Injection / XSS (деталі)
• WordPress Shopp 1.0.17 XSS / Shell Upload / Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Як я вже писав в новинах, з кінця вересня Яндекс розпочав свою програму “Полювання за помилками” і почав платити за уразливості. Я вирішив перевірити, що саме представляє з себе ця програма.

В жовтні, 05.10.2012, я знайшов Cross-Site Scripting уразливість на сайті http://pass.yandex.ru. Про що повідомив Яндексу. А також я знайшов багато інших уразливостей, але вирішив вислати одну - для початку.

Останній раз стосовно проектів Яндекс я писав про уразливості на afisha.yandex.ru.

XSS:

http://pass.yandex.ru/login?retpath=http://yandex.ru%3C/script%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Скріншот:

Yandex XSS.png

Вже 06.10.2012, через пів доби після того, як я відправив їм листа, мені відповів представник компанії, що він не може відтворити дану уразливість (достатньо просту XSS, детальний опис якої я виклав у своєму листі, в тому числі кроки для відтворення). На що я їм написав, що ця XSS працює лише для залогінених користувачів, як вже зазначав у першому листі, та вислав їм скріншот (зроблений заздалегідь, бо я підозрював Яндекс у нечесності). Вже після відправлення цього листа, я перевірив цю дірку і виявив, що вона вже виправлена.

Після чого отримав відповідь від Яндекса, що мовляв цю дірку їм хтось інший повідомив раніше (ага, дірка висіла на сайті роками і ніхто її не знаходив до мене, і лише після мого повідомлення вона була виправлена). Тому вони мені її не зараховують. Зазначу, що представник компанії спочатку “не впізнав” уразливості та заявив, що нічого такого немає (бо не знав, що я зробив скріншот), і вже після отримання від мене скріншота, він “впізнав” її та почав розповідати нову історію. І на мою незгоду з такою позицією компанії, висловлену в наступному листі, вони не відповіли (тим самим закривши це питання).

Вся ця поведінка Яндекса не викликала в мене позитивних емоцій. Але щоб не робити висновки по одному інциденту я вирішив вислати компанії ще декілька інших уразливостей, щоб детально перевірити цю програму, розставити всі крапки над “і” та зробити фінальні висновки. Про які я напишу найближчим часом.

18.07.2012

У липні, 02.07.2012, я дослідив SQL Injection та Cross-Site Scripting уразливості на сайті http://www.asv.gov.ua. Про які мені повідомив AmplenuS, а коли я ці дві дірки перевірив, то знайшов іще одну. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.11.2012

SQL Injection:

http://www.asv.gov.ua/content.php?lang=uk&page=gallery&theme=-1%20or%20version()%3E5

У липні в них була версія MySQL 5.1.63-log, зараз MySQL 5.1.66-log. СУБД оновити не забули, але дірки на сайті як не виправляли, так і не виправляють.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Social Discussions, Download Monitor та DM FileManager. Для котрих з’явилися експлоіти. Social Discussions - це плагін для інтеграції сайта з соціальними мережами, Download Monitor - це плагін для ведення статистики скачувань файлів, DM FileManager - це файловий менеджер.

• Multiple Vulnerabilities in Wordpress Social Discussions Plugin (деталі)
• Wordpress Download Monitor - Download Page Cross-Site Scripting (деталі)
• DM FileManager Remote File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP AssetManager, Remote Cross Site Scripting (XSS) and Unauthorized Data Modification (деталі)
• phptax 0.8 <= Remote Code Execution Vulnerability (деталі)
• XSS Vulnerabilities in phpFreeChat (деталі)
• Omnistar Mailer v7.2 - Multiple Web Vulnerabilities (деталі)
• DoS vulnerability in libxslt (деталі)
• Interspire Email Marketer v6.0.1 - Multiple Vulnerabilites (деталі)
• Omnistar Document Manager v8.0 - Multiple Vulnerabilities (деталі)
• vOlk Botnet Framework v4.0 - Multiple Web Vulnerabilities (деталі)
• Iomega StorCenter/EMC Lifeline Remote Access Vulnerability (деталі)
• FileBound - Privilege Escalation Vulnerability (деталі)

19.06.2012

У травні, 19.05.2012, я знайшов Information Leakage уразливість в веб сервері Apache. Про що найближчим часом повідомлю розробникам Apache httpd.

Раніше я вже писав про уразливість в Apache.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам додатку.

31.10.2012

Information Leakage:

В функціоналі Apache Server Status відбувається витік інформації - зокрема про запити до сервера (до всіх віртуальних хостів на ньому), при включеному ExtendedStatus. Про цей функціонал мені відомо ще з 2001 року, але лише в цьому році я дослідив його з точки зору безпеки.

http://site/server-status/

Також можуть використовуватися параметри notable, auto і refresh.

Цей функціонал знаходиться в модулі mod_status. По замовчуванню він відключений, але випадково чи навмисно (не розуміючи секюриті ризиків) він може бути включений та ще й без обмежень по IP для доступу до статусу. Папка /server-status/ - це шлях по замовчуванню і він може бути змінений в httpd.conf (але в основному використовується саме цей шлях).

Окрім Information Leakage також можлива DoS атака, якщо включена директива ExtendedStatus (доступна починаючи з Apache 1.3.2). Зазначу, що починаючи з версії 2.3.6 включення mod_status призводить до включення ExtendedStatus по замовчуванню. На можливість навантажити сервер при включеному ExtendedStatus звертають увагу і розробники в документації. Це при тому, що Server Status включений (і публічно доступний) на офіційному сервері Apache та ще й з розширеним статусом. Тобто самі вони не стали на це звертати увагу і проігнорували моє звернення про включений і публічно доступний Server Status у них на сервері та необхідність обмежити доступ до нього паролем (для виправлення IL уразливості в mod_status, а також захисту від DoS атак).

http://apache.org/server-status/

Уразливі Apache 1.1 - 2.4.3, що включають mod_status.

Лише в Гуглі (на запит intitle:”Apache Status”) можна знайти біля 5030 проіндексованих сайтів, частина з яких - це сторінки server-status (реальна кількість таких сайтів в Інтернеті значно більша).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Better WP Security, Slideshow та Archin. Для котрих з’явилися експлоіти. Better WP Security - це секюріті плагін для движка, Slideshow - це плагін для створення слайдшоу, Archin - це комерційна (преміум) тема движка.

• Better WP Security v3.4.3 Wordpress - Web Vulnerabilities (деталі)
• Multiple Vulnerabilities in Wordpress Slideshow Plugin (деталі)
• WordPress Archin Theme Unauthenticated Configuration Access (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP StorageWorks File Migration Agent RsaFTP.dll Remote Code Execution Vulnerability (деталі)
• Cross-Site Scripting (XSS) Vulnerabilities in Flogr (деталі)
• Multiple Vulnerabilities in TorrentTrader 2.08 (деталі)
• Atlassian Confluence Wiki XSS Vulnerability (деталі)
• HP StorageWorks File Migration Agent RsaCIFS.dll Remote Code Execution Vulnerability (деталі)
• Vbulletin (blog_plugin_useradmin) v4.1.12 Sql Injection Vulnerability (деталі)
• Axis VoIP Manager v2.1.5.7 - Multiple Web Vulnerabilities (деталі)
• NeoBill CMS v0.8 Alpha - Multiple Web Vulnerabilities (деталі)
• Microsoft Windows Unauthorized Digital Certificates (деталі)
• Switchvox Asterisk v5.1.2 - Multiple Web Vulnerabilities (деталі)

Сьогодні я виявив Cross-Site Scripting уразливість в CorePlayer. Це флеш відео плеєр, що використовується на vybory2012.gov.ua та webvybory2012.ru - сайтах онлайн трансляції виборів в Україні та Росії. Розробники цих сайтів використали один і той же самий дірявий флеш відео плеєр.

XSS:

http://site/core_player.swf?callback=alert(document.cookie)

Уразливі CorePlayer 4.0.6 та попередні версії. На сайті webvybory2012.ru використовується версія 1.3.2, а на сайті vybory2012.gov.ua - 4.0.6.