Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Barracuda CudaTel v2.0.029.1 - Multiple Web Vulnerabilities (деталі)
• XSS and Blind SQL Injection Vulnerabilities in ExponentCMS (деталі)
• Chengdu Bureau of Commerce - SQL Injection Vulnerability (деталі)
• Havalite CMS v1.0.4 - Multiple Web Vulnerabilities (деталі)
• IPhone TreasonSMS - HTML Inject & File Include Vulnerability (деталі)
• VMware vCenter Chargeback Manager Information Leak and Denial of Service (деталі)
• phpMyBible 0.5.1 Mutiple XSS (деталі)
• typo3-src security update (деталі)
• idev Game Site CMS v1.0 - Multiple Web Vulnerabilites (деталі)
• osCmax Shop CMS v2.5.1 - Multiple Web Vulnerabilities (деталі)

Торік я писав про знайдену мною уразливість Certificate Spoofing в Google Chrome для Android. А нещодавно я навів відео-ролик з подібною уразливістю - в ньому демонструється експлоіт для SSL Spoofing в Mozilla Firefox. У відео не зазначалося, яка саме версія є вразливою, тому я провів власні дослідження в різних браузерах.

Сьогодні я виявив, що дана SSL Spoofing уразливість наявна не тільки в Firefox, але і в Internet Explorer. Дана уразливість дозволяє підробити URL в адресному рядку браузера і отримати SSL сертифікат від іншого сайта (точніше сказати, вона дозволяє для одного сайта підставити адресу іншого сайта в адресний рядок і в його SSL сертифікат), що може бути використано для проведення фішинг атак. Для перевірки я розробив експлоіт аналогічний показаному в відео-ролику.

Уразливі Mozilla Firefox 3.0.19 та Internet Explorer 6 (6.0.2900.2180).

При цьому Firefox 3.6.8, 4.0 beta 2 і вище невразливі, так само як Google Chrome і Opera. В IE7 та IE8 код не працює із-за несумісності (в цих версіях дощо змінена підтримка JS), але якщо зробити код під ці версії Internet Explorer, то експлоіт цілком може запрацювати.

За повідомленням www.xakep.ru, Blizzard підтвердила численні взломи акаунтів Diablo III.

Наприкінці травня на форумах Battle.net з’явилися повідомлення користувачів про пропажу золота, одягу героїв і артефактів. На початку було незрозуміло, чи це технічний глюк на серверах Blizzard, чи це хакерська атака.

Незабаром журнал Eurogamer виступив на підтримку другої версії: вони повідомили про декілька випадків взлому акаунтів Diablo III. Також з’явилися чутки, що в неділю європейські сервери Diablo III пішли в офлайн на чотири години через SQL ін’єкцію. Компанія Blizzard підтвердила наявність уразливостей на їхньому сайті.

Не встиг Diablo 3 вийти, як його онлайнові сервера почали успішно атакувати. А незважаючи на свої доходи, Blizzard традиційно недостатньо слідкує за безпекою.

За повідомленням www.opennet.ru, GlobalSign тимчасово призупинив видачу SSL-сертифікатів через можливу компрометацію.

Ще у вересні, засвідчуючий центр GlobalSіgn повідомив про ініціювання внутрішньої перевірки безпеки в зв’язку з появою в мережі анонімної заяви, у якій від імені ініціаторів атаки стверджується, що крім взлому DigiNotar, удалося одержати доступ ще до чотирьох засвідчуючих центрів, серед яких StartCom і GlobalSign. Також стверджується, що незважаючи на широкий резонанс після взлому засвідчуючого центра Comodo, в нападників ще залишився доступ до систем деяких реселерів Comodo.

Після останніх взломів видавців SSL сертифікатів, таких як Comodo, DigiNotar, Digicert Sdn. Bhd, Gemnet та VeriSign, це може бути ще одним таким випадком.

За повідомленням nakedsecurity.sophos.com, games developer Rockyou fined $250K for not securely storing customer data.

Як повідомляється, у березні Federal Trade Commission (FTC) оштрафувала американську компанію Rockyou на $250000 за те, що вона не слідкувала за безпекою власного сайту. Взлом якого призвів до витоку великої кількості даних клієнтів цієї компанії. Це перший відомий мені випадок накладання штрафу за дірки на сайті (що призвели до взлому). Зараз FTC варто зайнятися Blizzard .

Нагадаю, що в 2009 році сайт компанії Rockyou, розробника онлайнових ігор, був взломаний через SQL Injection уразливість. В результаті взлому були скомпрометовані дані авторизації 32 млн. зареєстрованих користувачів.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості в наступних системах Інтернет-банкінга (що використовуються українськими банками):

• IFOBS
• IFOBS
• IFOBS

Також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

• www.petsshop.com.ua
• www.shopping.mk.ua
• vsevodnom.com.ua
• maximhorses.com
• decibel.com.ua
• marketzoo.com.ua
• patatuyki.com.ua
• roboexchenge.com
• roboexchange.net
• ups-store.com.ua
• shop.vibroseparator.ua
• 8oda.kiev.ua

А також згадував про інфіковані онлайн магазини в Уанеті:

• www.jasmin.biz.ua
• kityn.kiev.ua
• e-apteka.com.ua
• mirspeciy.com.ua
• tovarnadom.com.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

25.04.2012

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, MySQL 5.5, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise HRMS 8.9, Oracle BI Publisher 10.1, PeopleSoft Enterprise CRM 9.1, PeopleSoft Enterprise SCM 9.0 та інші продукти Oracle.

Більше 90 уразливостей у різних продуктах усунуто в щоквартальному оновленні.

• The history of a -probably- 13 years old Oracle bug: TNS Poison (деталі)
• OCIPasswordChange API leaks information of password hash (деталі)
• Some failed authentication attempts using OCIPasswordChange API are not recorded (деталі)
• Incomplete protection of Oracle Database locked accounts (деталі)
• SQL Injection in Oracle Enterprise Manager (compareWizFirstConfig web page) (деталі)
• SQL Injection in Oracle Enterprise Manager (searchPage web page) (деталі)
• HTTP Response Splitting in Oracle Enterprise Manager (prevPage parameter) (деталі)
• HTTP Response Splitting in Oracle Enterprise Manager (pageName parameter) (деталі)
• OCIPasswordChange API leaks information of password hash (деталі)
• Oracle Enterprise Manager vulnerable to Session fixation (деталі)
• Oracle Critical Patch Update Advisory - April 2012 (деталі)

02.06.2012

Додаткова інформація.

• Re: The history of a -probably- 13 years old Oracle bug: TNS Poison (деталі)
• Oracle TNS Poison vulnerability is actually a 0day with no patch available (деталі)
• Patch Notification: Oracle Grid Engine sgepasswd Buffer Overflow (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dabi.gov.ua (хакером Vprotest) - 15.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vin-osvita.gov.ua (хакерами з BRMC) - 22.03.2012 - похаканий державний сайт, на сайті все ще розміщений txt файл хакерів
• http://www.gtseminary.kiev.ua (хакерами з Kosova Hackers Crew)
• http://ringfb.net (хакером Hybris) - 25.04.2012, зараз сайт вже виправлений адмінами
• http://propipe.com.ua (хакером sovok)

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Remote Code Execution (CVE-2012-2031) (деталі)
• Adobe Shockwave Player Remote Code Execution (CVE-2012-2029) (деталі)
• Adobe Shockwave Player Remote Code Execution (CVE-2012-2030) (деталі)
• Security update available for Adobe Shockwave Player (деталі)

У травні, 08.05.2012, через п’ять днів після виходу PHP 5.3.12 та PHP 5.4.2, вийшли PHP 5.3.13 та PHP 5.4.3. В яких виправлені дві уразливості. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Cеред секюріті виправлень в PHP 5.3.13 та PHP 5.4.3:

• Повністю виправлена можливість відправки довільних команд PHP інтерпретатору (що була лише частково виправлена в версіях 5.3.12 та 5.4.2).

Як я вже зазначав, до цієї атаки уразливі деякі CGI-орієнтовані інсталяції (Apache+mod_php і nginx+php-fpm не є вразливими).

Cеред секюріті виправлень лише в PHP 5.4.3:

• Виправлена Buffer Overflow уразливість в apache_request_headers() (яка стосується лише гілки 5.4.x).

По матеріалам http://www.php.net.