Websecurity - Веб безпека

23.09.2009

Виявлені численні уразливості безпеки в mod_proxy_ftp під Apache.

Уразливі версії: Apache 2.0, Apache 2.2.

Відмова в обслуговуванні, обхід обмежень.

• Vulnerabilities in mod_proxy_ftp in Apache (деталі)

13.04.2010

Додаткова інформація.

• HP Secure Web Server for OpenVMS (based on Apache) CSWS, Remote Denial of Service (DoS), Unauthorized Disclosure of Information, Unauthorized Modification of Information (деталі)

В даній добірці уразливості в веб додатках:

• OpenSSH vulnerabilities (деталі)
• New openssh packages fix denial of service (деталі)
• phpCollegeExchange 0.1.5c Multiple SQL Injection Vulnerabilities (деталі)
• E-Store SQL Injection Vulnerability (деталі)
• Digital Scribe 1.4.1 Multiple SQL Injection Vulnerabilities (деталі)
• Multiple XSS and Injection Vulnerabilities in TestLink Test Management and Execution System (деталі)
• Miniweb 2.0 Full Path Disclosure (деталі)
• SQL Injection vulnerability in EEGshop v1.2 (деталі)
• B2C Booking Centre Systems - SQL Injection Vulnerability (деталі)
• DoS Vulnerability in Aruba Mobility Controller Caused by Malformed EAP Frame (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kivadm.gov.ua - інфікований державний сайт - інфекція була виявлена 12.04.2010. Зараз сайт не входить до переліку підозрілих.
• http://kivrada.gov.ua - інфікований державний сайт - інфекція була виявлена 11.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://demoversion.org.ua - інфекція була виявлена 11.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pbs.net.ua - інфекція була виявлена 10.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://vokl.lutsk.ua - інфекція була виявлена 10.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 22 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти demoversion.org.ua та pbs.net.ua також хостить в себе Укртелеком.

В даній добірці експлоіти в веб додатках:

• Joomla Component com_joomloc (id) SQL Injection Vulnerability (деталі)
• Model Agency Manager Pro (user_id) SQL Injection Vulnerability (деталі)
• Joomla Component TPDugg 1.1 Blind SQL Injection Exploit (деталі)
• Joomla Component BF Survey Pro Free SQL Injection Exploit (деталі)
• OBOphiX <= 2.7.0 (fonctions_racine.php) Remote File Inclusion Vuln (деталі)
• The Rat CMS Alpha 2 Arbitrary File Upload Vulnerability (деталі)
• Graffiti CMS 1.x Arbitrary File Upload Vulnerability (деталі)
• Nullam Blog 0.1.2 (LFI/FD/SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• Advanced Comment System 1.0 Multiple RFI Vulnerabilities (деталі)
• Linksys WRT54GC - Administration Password Change exploit (деталі)

У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в компоненті com_bookman для Joomla. Також даний компонент входить до складу Reservation Manager for Joomla. Про що найближчим часом сповіщу розробників.

Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Раніше я вже згадував про CB Captcha для Joomla і Mambo, що також використовує даний скрипт капчі.

Insufficient Anti-automation:

http://site/components/com_bookman/functions/CaptchaSecurityImages.php?width=150&height=100&characters=2

Можливий обхід капчі через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше.

DoS:

http://site/components/com_bookman/functions/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі всі версії com_bookman та всі версії Reservation Manager for Joomla.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням www.bezpeka.com, Microsoft випускає екстрене оновлення для Internet Explorer. Вже після виходу березневого вівторка патчів, Microsoft випустила позачергове екстрене оновлення для браузера Internet Explorer різних версій.

До складу кумулятивного оновлення ввійшов патч для діри, що зловмисники експлуатують вже декілька тижнів. Уразливість дозволяє одержати несанкціонований доступ до віддаленого комп’ютера з правами поточного користувача через сформовану спеціальним чином веб-сторінку. Проблема торкається Internet Explorer 6 і 7.

За повідомленням techlabs.by стосовно випуску позачергового патча для Internet Explorer, Microsoft планує виправити уразливості в IE6 та IE7. А також компанія закриє ще декілька критичних уразливостей, що містяться в тому числі й у восьмій версії браузера.

Вперше про уразливість в IE6 і 7 було заявлено 9 березня, на той час говорилося про цілеспрямовані атаки. Трохи пізніше ізраїльський дослідник Моше Бен Абу створив робочій експлоіт для дірки й опублікував його вихідний код. Тим самим він стимулював Microsoft швидше виправити дірки в своєму браузері.

За повідомленням www.theregister.co.uk, Cisco borgs real-time security biz ScanSafe. Минулої осені компанія Cisco купила ScanSafe - компанію, що надавала послуги по виявленню шкідливих веб сайтів.

ScanSafe розробила сервіс подібний до моєї системи Web VDS. Їхній секюріті сервіс в реальному часі аналізує запити користувачів компаній до веб сайтів, на предмет шкідливості вмісту даних сайтів. Що цікаво, Cisco купила дану компанію за 183 мільйони доларів. Це ще один приклад нагоди (до раніше згаданої), яку впустила Head Technology в цій сфері.

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це StopBadware, який також є конкурентом моїй Web VDS.

StopBadware - це сервіс призначений для боротьби зі шкідливими сайтами. Дані з якого використовуються в браузерах Mozilla Firefox та Google Chrome для захисту від шкідливих сайтів.

База шкідливих сайтів в даному сервісі формується за рахунок повідомлень його користувачів. Користувачі браузерів Firefox та Chrome та будь-які користувачі через сайт сервісу можуть повідомляти про шкідливі сайти. Окрім власних даних, в своїй БД сервіс також має дані від Sunbelt Software і Google, які надають дані про інфіковані сайти для StopBadware.

Щоб скористатися сервісом StopBadware, потрібно зайти на даний сайт і вказати URL сайта в рядку пошуку по БД сервісу (після чого перейти на сторінку звіту про даний сайт):

http://stopbadware.org/home/reportsearch

В даній добірці уразливості в веб додатках:

• Apple Java CColorUIResource Pointer Derference Code Execution Vulnerability (деталі)
• Piwik Cookie unserialize() Vulnerability (деталі)
• Zen Cart local file disclosure vulnerability (деталі)
• PhpShop Multiple Vulnerabilities (деталі)
• Linksys WRT54GC - Admin Password Change (POC) (деталі)
• PasswordManager Pro 6.1 Script Injection Vulnerability (деталі)
• Daloradius XSS Vulnerability (деталі)
• WSCreator 1.1 Blind SQL Injection (деталі)
• Multiple Vulnerabilities in PyForum (деталі)
• Juniper Advisory (деталі)

У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системі ClickCMS (Click Content Management System) що входить до ClickEMU. Про що найближчим часом сповіщу розробників.

Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Insufficient Anti-automation:

http://site/captcha/CaptchaSecurityImages.php?width=150&height=100&characters=2

Можливий обхід капчі як через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше, так і з використанням метода session reusing with constant captcha bypass method, описаного в проекті MoBiC. Останній варіант атаки можливий через некоректну реалізацію захисту в системі від даного методу обходу.

DoS:

http://site/captcha/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі всі версії ClickCMS.

Пропоную ознайомитися з мою статтею про тестування систем пошуку вірусів на веб сайтах, що я провів на цьому тижні.

В даному дослідженні я провів порівняльне тестування різних систем пошуку вірусів на веб сайтах. Що можуть бути використані для захисту користувачів Інтернет від інфікованих сайтів, що поширюють шкідливе програмне забезпечення (malware). Тема зараженості веб сайтів зараз є дуже актуальною і всім користувачам Інтернет буде корисно дізнатися про існуючі системи.

Тестування систем пошуку вірусів на веб сайтах

Мною були дослідженні наступні системи:

1. Web Virus Detection System.
2. Google.
3. Yahoo.
4. Yandex.
5. Norton Safe Web.
6. McAfee SiteAdvisor.
7. StopBadware.

З результатами тестування можете ознайомитися в даній статті.