Websecurity - Веб безпека

Два дні тому, 13-го липня, пройшло три роки з дня випуску PHP5.

Команда розробників PHP оголосила, що вони будуть підтримувати стару версію, PHP4, тільки до кінця поточного року. З початку наступного, 2008 року, нових поліпшень для PHP 4.4 виходити більше не буде.

Однак, розробники повідомили про свій намір випускати виправлення безпеки PHP4 до 8-го серпня 2008 року і попросили всіх користувачів PHP4 підготуватися до переходу на PHP5.

Також, вони повідомили, що будуть надавати підтримку користувачам по переходу з PHP4 на PHP5 і викладати відповідну документацію на своєму сайті.

По матеріалам http://www.cnews.ru.

22.02.2007

У листопаді, 14.11.2006, я знайшов Cross-Site Scripting уразливості на популярному проекті http://cards.meta.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Нещодавно я писав про нову уразливість на context.meta.ua - іншому сервісі компанії Мета.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

15.07.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.

В даній добірці експлоіти в веб додатках:

• GGCMS <= 1.1.0 RC1 Remote Code Execution Exploit (деталі)
• AgerMenu 0.01 (top.inc.php rootdir) Remote File Include Vulnerability (деталі)
• Kisisel Site 2007 (tr) Remote SQL Injection Vulnerability (деталі)
• WebMatic 2.6 (index_album.php) Remote File Include Vulnerability (деталі)
• OTSCMS <= 2.1.5 (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• Advanced Poll <= 2.0.5-dev Remote Admin Session Generator Exploit (деталі)
• LushiWarPlaner 1.0 (register.php) Remote SQL Injection Exploit (деталі)
• XOOPS Module Tiny Event <= 1.01 (id) Remote BLIND SQL Injection Exploit (деталі)
• phpBB mutant 0.9.2 (phpbb_root_path) Remote File Inclusion Exploit (деталі)
• XOOPS Module Zmagazine 1.0 (print.php) Remote BLIND SQL Injection Exploit (деталі)

Інтернет-гігант Google оголосив про покупку компанії Postini, що розробляє рішення для роботи з електронною поштою. Сума угоди склала 625 млн. доларів. Варто відзначити, що рішення Postini на сьогодні досить популярні серед західних компаній.

Крім засобів для роботи з E-mail, Postini продає програмне забезпечення для шифрування повідомлень, створення архівів і роботи із сервісами миттєвих повідомлень.

У Google говорять, що рішення Postini будуть запропоновані бізнесам-користувачам системи Gmail і онлайнового офісного пакета Google Apps. За даними Google, на сьогодні нараховується більш 100 000 користувачів комерційної версії Gmail.

Аналітики агентства Bloomberg відзначають, що поглинання Postini стало третім по величині за історію Google. Два інших великих поглинання, це покупка DoubleClick за 3,1 млрд. доларів і YouTube за 1,65 млрд. доларів.

По матеріалам http://www.cybersecurity.ru.

Виявлена можливість підвищення привілеїв в MySQL (RENAME privilege escalation).

Уразливі версії: MySQL 4.0, MySQL 4.1, MySQL 5.0, MySQL 5.1.

При перейменуванні таблиці не перевіряється наявність у користувача повноважень DROP.

• MySQL does not require the DROP privilege for RENAME TABLE statements (деталі)

В даній добірці уразливості в веб додатках:

• WzdFTPD < 8.1 Denial of service (деталі)
• MkPortal Admin XSS (деталі)
• Uber Uploader 4.2 Arbitrary File Upload Vulnerability (деталі)
• Intranet Open Source Remote Password Disclosure “intranet.mdb” (деталі)
• RI Blog 1.3 XSS Vuln. (деталі)
• Multiple bugs in EditTag (деталі)
• Flog 1.1.2 Remote Admin Password Disclosure (деталі)
• Kolayindir Download (Yenionline) (tr) SqL Injection Vuln. (деталі)
• Декілька уразливостей в webSPELL (деталі)
• php інклюдинг в signkorn Guestbook (деталі)
• Multiple SQL injection vulnerabilities in Walter Beschmout PhpQuiz (деталі)
• Direct static code injection vulnerability in Walter Beschmout PhpQuiz (деталі)
• Розкриття паролів в IBM Tivoli Identity Manager (деталі)
• Multiple PHP remote file inclusion in JD-WordPress for Joomla! (com_jd-wp) (деталі)
• Multiple PHP remote file inclusion vulnerabilities in AllMyGuests (деталі)

Новоград-Волинський міськрайонный суд Житомирської області визнав 37-літнього жителя міста Новоград-Волинський Сергія К. винним у здійсненні злочину, передбаченого частиною 2 статті 361 (”Незаконне втручання в роботу електронно-обчислювальних машин (комп’ютерів), систем і комп’ютерних мереж”) Кримінального кодексу України, і призначив покарання у виді трьох років позбавлення волі з конфіскацією програмних і технічних засобів, за допомогою яких було вчинено несанкціоноване втручання.

Як повідомляє прес-група Управління Служби безпеки України в Житомирській області, чий слідчий відділ відкрив і розслідував щодо нього кримінальну справу, громадянин України Сергій К. обвинувачувався в несанкціонованому втручанні в роботу електронно-обчислювальної машини, що привело до витоку інформації у вигляді логіна і пароля газети “Звягель-інформ”, необхідних для виходу в мережу Інтернет, а також кількаразовому (точніше - 99-разовому) несанкціонованому втручанні в роботу комп’ютерної мережі житомирської філії “Уктрелекома” і глобальної комп’ютерний мережі Інтернет, що привело до блокування інформації газети “Звягель-інформ”.

З урахуванням пом’якшуючих обставин Сергій К. звільнений від відбування основного покарання з заміною його іспитовим терміном 1,5 року.

По матеріалам http://www.securitylab.ru.

16.02.2007

У листопаді, 13.11.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.cifrovik.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.07.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• Flip 2.01 final (previewtheme.php inc_path) RFI Vulnerability (деталі)
• Categories hierarchy phpBB Mod 2.1.2 (phpbb_root_path) RFI Exploit (деталі)
• Oracle 9i/10g DBMS_EXPORT_EXTENSION SQL Injection Exploit (деталі)
• SMA-DB <= 0.3.9 (settings.php) Remote File Inclusion Vulnerability (деталі)
• Geeklog 2 (BaseView.php) Remote File Inclusion Vulnerability (деталі)
• LightRO CMS 1.0 (inhalt.php) Remote File Include Vulnerability (деталі)
• MySQL 4.x/5.0 User-Defined Function Command Execution Exploit (win) (деталі)
• XOOPS Module Camportail <= 1.1 (camid) Remote BLIND SQL Injection Exploit (деталі)
• CyBoards PHP Lite 1.21 (script_path) Remote File Include Exploit (деталі)
• XOOPS Module Kshop <= 1.17 (id) Remote BLIND SQL Injection Exploit (деталі)

Позавчора Джеремія в своєму в записі First multi-site XSS WebMail Worm (PoC) повідомив про те, що з’явився перший мультидоменний вебпоштовий XSS хробак.

Цей XSS вірус (в даному випадку хробак) розповсюджується через сервіси веб пошти. Прицьому, і це найголовніше, що вирізняє його, він розповсюджується не через один сервіс веб пошти, а одразу через декілька (через 4) вебмайл сервіси. Тобто користувачі усіх цих чотирьох поштових сервісів потенційно можуть стати жертвами цього хробака.

На сайті автора хробака - A proof of concept of a XWW - cross webmail worm, наводиться опис коду (PoC) даного XSS хробака. Сам код нешкідливий, він є лише демонстрацією можливості створення реальних вебпоштових XSS вірусів.

До речі, на сайті автора також є відео демонстрація роботи його хробака . Доволі цікаве відео.