Архів за Листопад, 2006

Численні уразливості в Oracle

16:25 26.11.2006

22.11.2006

Виявленні численні помилки і уразливості в Oracle.

Уразливі версії: Oracle 9i, Oracle E-Business Suite 11.0, Oracle 10g, JDeveloper 9.0, SunMC 3.5, Oracle E-Business Suite 11i, APEX/HTMLDB 2.2.

SQL ін’єкції, DoS, модифікація файлів, міжсайтовий скріптінг, підвищення привілеїв, зміна параметрів аудита. Передача пароля у відкритому виді з JDeveloper у SQLPlus. Пароль JDeveloper зберігається у відкритому тексті в різних конфігураційних файлах формату XML. Пароль FormBuilder зберігається у відкритому тексті в тимчасових файлах. Слабкі дозволи на тимчасові файли. Перезапис і читання будь-якого файлу в Oracle Reports. Виконання будь-якої команди через Oracle Forms і Oracle Reports. А також величезна кількість інших помилок, багато з який давно відомі і дотепер не виправлені, що дозволяє говорити про нульовий рівень безпеки всіх продуктів. Для забезпечення безпеки продуктів Oracle використовуйте розробки сторонніх виробників.

  • Multiple Oracle application server vulnerabilities (деталі)

26.11.2006

Додаткова інформація.

Було знайдено 79 уразливостей в продуктах Oracle:

  • Modify Data via Inline Views
  • Various Cross-Site-Scripting Vulnerabilities in Oracle Reports
  • Cross-Site-Scripting Vulnerabilitiy in Oracle APEX NOTIFICATION_MSG
  • Cross-Site-Scripting Vulnerability in Oracle APEX WWV_FLOW_ITEM_HELP
  • SQL Injection in Oracle package MDSYS.SDO_LRS
  • SQL Injection in package SYS.DBMS_CDC_IMPDP
  • SQL Injection in package XDB.DBMS_XDBZ0
  • SQL Injection in package SYS.DBMS_SQLTUNE_INTERNAL
  • Oracle 10g R2 and, probably, all previous versions
  • Bypassing Oracle dbms_assert
  • Oracle Database - SQL Injection in SYS.DBMS_UPGRADE [DB22]
  • Oracle Database - SQL Injection in SYS.DBMS_STATS [DB21]
  • Oracle Database - SQL Injection in SYS.DBMS_CDC_IMPDP [DB01]
  • Oracle Database - SQL Injection in SYS.DBMS_CDC_IMPDP [DB01]
  • US-CERT Technical Cyber Security Alert TA06-200A — Oracle Products Contain Multiple Vulnerabilities
  • Oracle Database - SQL Injection in SYS.KUPW$WORKER [DB03]
  • Recent Oracle exploit is _actually_ an 0day with no patch
  • Oracle Database 10gR1 Buffer overflow in VERIFY_LOG procedure
  • Oracle Products Contain Multiple Vulnerabilities
  • SQL Injection in package SYS.DBMS_LOGMNR_SESSION
  • Multiple critical and high risk issues in Oracle’s database server
  • Oracle read-only user can insert/update/delete data via specially crafted views
  • More on the workaround for the unpatched Oracle PLSQL Gateway flaw
  • The History of the Oracle PLSQL Gateway Flaw
  • Oracle Database Buffer overflows vulnerabilities in public procedures of XDB.DBMS_XMLSCHEMA{_INT}
  • Workaround for unpatched Oracle PLSQL Gateway flaw
  • Oracle Products Contain Multiple Vulnerabilities
  • Oracle Database 10g Rel. 1 - SQL Injection in SYS.KUPV$FT
  • Oracle Database 10g Rel. 1 - SQL Injection in SYS.KUPV$FT_INT
  • Oracle Database 10g Rel. 2 - Event 10053 logs TDE wallet password in cleartext
  • Oracle DBMS - Access Control Bypass in Login
  • Oracle Reports - Read parts of files via desname (fixed after 874 days)
  • Oracle Reports - Overwrite any application server file via desname (fixed after 889 days)
  • Oracle Reports - Read parts of files via customize(fixed after 875 days)
  • Oracle Database 10g Rel. 2- Transparent Data Encryption plaintext masterkey in SGA
  • Oracle DBMS_ASSERT and the October 2005 CPU
  • Oracle October 2005 CPU Problems
  • Oracle Application Server HTTP Response Splitting Vulnerability
  • Exploit Oracle DB27 - CPU Octobre
  • Oracle 10g - emagent.exe Stack-Based Overflow
  • Oracle Workflow CSS Vulnerability wf_route
  • Oracle Workflow CSS Vulnerability wf_monitor
  • Oracle Workflow CSS Vulnerability wf_monitor
  • Oracle Products Contain Multiple Vulnerabilities
  • Complete failure of Oracle security response and utter neglect of their responsibility to their customers
  • Cross-Site-Scripting Vulnerability in Oracle XMLDB
  • Shutdown TNS Listener via Oracle iSQL*Plus
  • Shutdown TNS Listener via Oracle Forms Servlet
  • Plaintext Password Vulnerabilitiy during Installation of Oracle HTMLDB
  • Cross-Site-Scripting Vulnerabilities in Oracle HTMLDB
  • Cross-Site-Scripting Vulnerability in Oracle iSQL*Plus
  • Oracle 9R2 Unpatched vulnerability on CWM2_OLAP_AW_AWUTIL package
  • Oracle 9R2 Unpatched vulnerability on CWM2_OLAP_AW_AWUTIL package
  • Sun Management Center Oracle Listener Vulnerabilities
  • Various Cross-Site-Scripting Vulnerabilities in Oracle Reports
  • Read parts of any XML-file via customize parameter in Oracle Reports
  • Read parts of any file via desformat in Oracle Reports
  • Run any OS Command via unauthorized Oracle Reports
  • Run any OS Command via unauthorized Oracle Forms
  • Overwrite any file via desname in Oracle Reports
  • Silently fixed security bugs in Oracle Critical Patch Update July 2005
  • Oracle Products Contain Multiple Vulnerabilities
  • Oracle Forms Insecure Temporary File Handling
  • Oracle Forms Builder Password in Temp Files
  • Oracle JDeveloper Plaintext Passwords
  • Name Oracle JDeveloper passes Plaintext Password
  • Problems with the Oracle Critical Patch Update for April 2005
  • Oracle 10g Exploit dbms_scheduler SESSION_USER issue
  • Oracle Fine Grained Auditing Issue in Oracle 9i / 10g
  • Webcache Client Requests bypasses OHS mod_access restrictions
  • Append file in Oracle Webcache 9i
  • Cross Site Scripting in Oracle Webcache 9i
  • Oracle Products Contain Multiple Vulnerabilities
  • Multiple Exploit Codes for Oracle (interMedia, DBMS_CDC_SUBSCRIBE, DBMS_CDC_ISUBSCRIBE and DBMS_METADATA)
  • SQL Injection in ALTER_MANUALLOG_CHANGE_SOURCE procedure
  • Multiple SQL Injection vulnerabilities in DBMS_METADATA package
  • Denial of Service in Oracle interMedia
  • SQL Injection in CREATE_SCN_CHANGE_SET procedure
  • Multiple SQL Injection vulnerabilities in DBMS_CDC_SUBSCRIBE and DBMS_CDC_ISUBSCRIBE packages

А також експлоіти для Oracle:

Добірка уразливостей

14:40 26.11.2006

В даній добірці уразливості в веб додатках:

  • 7 php scripts File Inclusion / Source disclosure Vuln (деталі)
  • MysqlDumper Version 1.21 b6 Xss Vulnerability (деталі)
  • zenphoto Multiple Path Disclosure and Cross Site Scripting Vulnerabilities (деталі)
  • Exploits Minichat v6 Remote File Include (деталі)
  • SH-News (RFI) (деталі)
  • Download-Engine Remote File Include (деталі)
  • Download-Engine Remote File Include (деталі)
  • Softerra. PHP Developer Library (деталі)
  • Multiple PHP remote file inclusion vulnerabilities in Knusperleicht FileManager 1.2 (деталі)
  • PHP-інклюдинг в ME Download System (деталі)

Уразливості на bezpeka.com

16:40 25.11.2006

24.10.2006

В минулому місяці, 05.09.2006, я знайшов Cross-Site Scripting уразливості на популярному секюріті проекті http://bezpeka.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

25.11.2006

XSS:

На сторінці http://bezpeka.com/ru/search/ при відправлені POST запиту (в поле “Найти”):
"><script>alert(document.cookie)</script>

На сторінці http://bezpeka.com/en/search/ при відправлені POST запиту (в поле “Find”):
"><script>alert(document.cookie)</script>

Уразливості вже виправлені.

Добірка експлоітів

14:10 25.11.2006

В даній добірці експлоіти в веб додатках:

  • Freenews <= 1.1 (moteur.php) Remote File Include Vulnerability (деталі)
  • docmint <= 2.0 (engine/require.php) Remote File Inclusion Exploit (деталі)
  • Infecting Elf Binaries to Gain Local Root Exploit (деталі)
  • phpPC <= 1.03 RC1 (/lib/functions.inc.php) Remote File Include Exploit (деталі)
  • Exhibit Engine <= 1.5 RC 4 (photo_comment.php) Remote File Include Exploit (деталі)

Уразливість на www.fbi.gov

22:39 24.11.2006

24.11.2006

Силовим структурам США варто серйозно слідкувати за безпекою власних сайтів. Раніше я вже згадував про уразливість на www.nsa.gov. На цей раз повідомляю про Cross-Site Scripting уразливість на сайті FBI (Federal Bureau of Investigation) :-) .

Уразливість в редиректорі на сайті ФБР. І адмінам сайту потрібно буде зайнятися цією уразливістю і в подальшому приділяти більше уваги безпеці власного сайту.

XSS:

Повідомляти адмінам ФБР не стану - нехай самі слідкують за власним сайтом (особливо враховуючи, що адміни NSA так і не відреагували до сих пір). І також можуть мій сайт почитати, де завжди знайдуть цікаву інформацію, щодо уразливостей на їхньому власному сайті.

27.04.2010

Як я сьогодні вияснив, ФБР виправило XSS уразливість (при цьому редиректор залишився). Але виправило уразливісь неповністю і, при невеликій зміні коду, вона знову працює.

XSS:

Експлоіти для Internet Explorer

19:50 24.11.2006

Нова добірка експлоітів для останніх помилок (уразливостей) в Internet Explorer. В ній представлені експлоіти для IE6, а для нової версії IE дивіться тест Підміна вмісту сторінки в Internet Explorer 7.

  • MS Internet Explorer (VML) Remote Buffer Overflow Exploit (XP SP2) (деталі)
  • MS Internet Explorer WebViewFolderIcon setSlice() Overflow Exploit (деталі)
  • MS Internet Explorer WebViewFolderIcon setSlice() Exploit (html) (деталі)
  • MS Internet Explorer WebViewFolderIcon setSlice() Exploit (c) (деталі)
  • MS Internet Explorer WebViewFolderIcon setSlice() Exploit (pl) (деталі)

Попередня добірка eксплоітів для Internet Explorer.

Чому немає справжніх CISO

15:44 24.11.2006

В статті не секлабі під назвою “Чому в Росії немає справжніх CISO”, яку я рекомендую вам прочитати, йдеться про проблеми інформаційної безпеки на підприємствах та керівництво відділом безпеки - CISO (Chief Information Security Officer).

Проблема полягає в відсутності справжніх кваліфікованих CISO, тому що ні ВУЗи не випаскають квалфівікованих кадрів, ні спецільні учбові центри (котрих мало, і якість їх програм не відповідає сучасним потребам).

А також проблема полагає в тому, що постановка самої інформаційної безпеки на підприємстві відірвано від контекста бізнеса власного відприємства. Автор звертає увагу, що в даний час кірівники відділів безпеки акцентують свою діяльність не завжди і зовсім на тому що потрібно підприємству. Не поєднується інформаційна безпека з бізнес-стратегією підпрємства.

Що призводить до негативних наслідків - в результаті погіршується загальний рівень безпеки, і сама безпека підприємства фінансується по залишковому принципу. Тобто CISO повинні не тільки займатися безпесоредньо безпекою (у нього повинні бути кваліфіковані підлеглі для цього), а сам керівник відділу безпеки повинен займатися менеджментом, бізнесом компанії. І створювати увоми, за рахунок безпеки, для досягнення бізнес цілей компанії. І тим самим відстоювати нормальний рівень бюджету компанії на її інформаційну безпеку - тому що при низьких рівнях фінансування безпеки (що поширено в наш час), ефектиність діяльності відділу безпеки буде низькою.

Зазначу, що подібні тенденції і явища мают місце й в Україні. І поступово, хоча й низькими темпами, ситація у нас, як я в Росії, починає змінюватися. І компанії починають розуміти важливість власної інформаційної безпеки.

  • Почему в России нет настоящих CISO (деталі)

Добірка уразливостей

14:22 24.11.2006

В даній добірці уразливості в веб додатках:

  • PacSec Hype Security Team: CGI.pm param injection (деталі)
  • blueshoes <= 4.6_public Remote File Inclusion (деталі)
  • claroline <= 180rc1 Remote File Inclusion (деталі)
  • tagit2b — Remote File Inclusion (деталі)
  • PHPLibrary <= 1.5.3 Remote File Inclusion (деталі)
  • Eazy Cart Multiple Security Issues (деталі)
  • eXpBlog <= 0.3.5 Cross Site Scripting Vulnerabilities (деталі)
  • vtiger CRM <=4.2 (calpath) Multiple Remote File Inclusion Vulnerability (деталі)
  • XMB <= 1.9.6 (u2uid) Remote SQL Injection Exploit (деталі)
  • PHP remote file inclusion vulnerability in Knusperleicht newsReporter 1.1 (деталі)

Mozilla обновила браузер Firefox 1.5

20:47 23.11.2006

Співтовариство Mozilla.org випустило обновлену версію браузера Firefox 1.5.

У представленій днями версії Fіrefox з індексом 1.5.0.8 усунуто декілька небезпечних уязвимостей. Діри, що є присутніми у попередніх версіях браузера, можуть використовуватися зловмисниками з метою організації DoS-атак на віддалені комп’ютери, обходу певних обмежень безпеки, проведення XSS-атак і виконання на машині жертви довільного шкідливого коду. Крім того, програмісти Mozilla внесли ряд змін, що дозволили підвищити стабільність роботи браузера.

Співтовариство Mozilla.org має намір випускати обновлення безпеки для версій браузера Firefox з індексами 1.5.х аж до 24 квітня наступного року. Після цієї дати підтримка продукту буде припинена.

Утім, уже зараз усі бажаючі можуть завантажити більш надійний браузер Firefox 2.0, випущений минулого місяця. У Firefox 2.0, нагадаємо, з’явилися антифішинговий фільтр, вбудовані засоби перевірки правопису і граматики, підтримка JavaScript 1.7 і удосконалений механізм підтримки RSS. Браузер доступний у версіях для операційних систем Microsoft Windows, Apple Mac OS і Linux.

По матеріалам http://www.secblog.info.

Уразливість на www.film.ru

19:30 23.11.2006

30.10.2006

В минулому місяці, 10.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.film.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.11.2006

XSS:

Уразливість вже виправлена. Про що деякий час тому мені повідомив адміністратор проекту.