Архів за Березень, 2013

Виконання коду в Microsoft Silverlight

20:06 28.03.2013

Виявлена можливість виконання коду в Microsoft Silverlight.

Уразливі версії: Microsoft Silverlight 5.

Пошкодження пам’яті.

  • Microsoft Security Bulletin MS13-022 - Critical Vulnerability in Silverlight Could Allow Remote Code Execution (2814124) (деталі)

Добірка експлоітів

17:14 28.03.2013

В даній добірці експлоіти в веб додатках:

  • HP Intelligent Management Center Arbitrary File Upload (деталі)
  • Rosewill RSVA11001 - Remote Command Injection (деталі)
  • ZEN Load Balancer Filelog Command Execution (деталі)
  • Webmin /file/show.cgi Remote Command Execution (деталі)
  • SAP Netweaver Dispatcher 7.0 EHP1/2 Multiple Vulnerabilities (деталі)

Уразливості в плагінах для WordPress №98

23:51 27.03.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Responsive Logo Slideshow, Pretty Link та Comment Rating. Для котрих з’явилися експлоіти. Responsive Logo Slideshow - це плагін для створення слайдшоу, Pretty Link - це плагін для розміщення гарних лінок, Comment Rating - це плагін для створення рейтингів коментарів.

  • Reflective/Stored XSS in Responsive Logo Slideshow Plugin Cross-Site Scripting Vulnerability (деталі)
  • WordPress Pretty Link 1.6.3 Cross Site Scripting (деталі)
  • WordPress Comment Rating 2.9.32 SQL Injection / Bypass (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Захист від XSS з X-XSS-Protection

22:42 27.03.2013

Продовжуючи тему технологій захисту від Cross-Site Scripting атак, після статей про HttpOnly та метод захисту з JavaScript, розповім про іншу технологію захисту від XSS атак. Яка передбачає використання заголовка X-XSS-Protection.

Заголовок X-XSS-Protection встановлюється на сервері до всіх веб сторінок, які треба захистити від XSS атак на стороні клієнта (тобто це клієнтська технологія, що вимагає підтримки браузером). Для цього веб додаток повинен у своїй відповіді вказати відповідний серверний заголовок:

X-XSS-Protection: 1; mode=block

Якщо вказати “1″, то браузер з підтримкою цього заголовка, включить захист від XSS на даній сторінці. Режим захисту може бути стандартний (фільтрація потенційного XSS коду), або блокування (що задається параметром mode=block).

Даний заголовок був розроблений Microsoft і вперше його підтримка була додана в Internet Explorer 8 в березні 2009. Пізніше Google додала його підтримку в свій браузер Chrome. В 2010 році була виявлена уразливість в XSS Filter в IE8, що дозволяла виконувати атаки на веб сторінки, що навіть не мали XSS уразливостей.

Особливості даної технології:

1. Використання заголовка захищає лише від reflected XSS.

2. Захист працює лише в браузерах, що підтримують заголовок. В цьому плані технологія схожа на HttpOnly (але HttpOnly підтримують набагато більше браузерів).

X-XSS-Protection підтримують наступні браузери:

Internet Explorer 8+
Google Chrome 8+ (спочатку в версії 4.0 була додана експериментальна функція “XSS Auditor”, але в версії 4.1 вона була відключена через виявлені уразливості й знову включена лише в версії 8.0).

Дана технологія захисту від XSS атак має свої достоїнства та недоліки. Як я вже казав, жодна з цих допоміжних технологій не може дати 100% гарантію захисту від XSS атак і вирішує лише частину проблеми, тільки виявлення та виправлення всіх XSS уразливостей дасть надійних захист. Але ці технології можна використати в парі з проведенням аудиту безпеки своїх сайтів, як додатковий елемент безпеки.

Похакані сайти №220

20:22 27.03.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.vynogradiv-rda.gov.ua (хакером Sejeal) - 23.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.dak.gov.ua (хакером Sejeal) - 23.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://ddacore.com (хакером misafir) - 15.01.2013, зараз сайт вже виправлений адмінами
  • http://vsesvitn.com.ua (хакером Hmei7) - 12.03.2013, зараз сайт вже виправлений адмінами
  • http://volleyball.in.ua (хакером Sejeal) - 15.01.2013, зараз сайт вже виправлений адмінами
  • http://pms-carmedia.com (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
  • http://volleyballinua.s24.yourdomain.com.ua (хакером ghost-dz) - 17.02.2013, зараз сайт вже виправлений адмінами
  • http://24kadra.pp.ua (хакером Aghilas)
  • http://www.noomd-pi.org (хакером Ardd’zz)
  • http://www.slava-hotel.com.ua (хакерами з Kosova Warriors Group) - 04.03.2013, зараз сайт вже виправлений адмінами

Численні уразливості в Oracle Java

17:09 27.03.2013

12.02.2013

Виявлені численні уразливості безпеки в Oracle Java.

Уразливі версії: Oracle JRE 6, JDK 6, JDK 7, JRE 7.

Виправлено близько 50 різних уразливостей.

  • Details of issues fixed by Feb 2013 Java SE CPU (деталі)

27.03.2013

Додаткова інформація.

  • The “allowed behavior” in Java SE 7 (Issue 54) (деталі)
  • Oracle Java Contains Multiple Vulnerabilities (деталі)
  • Java for OS X 2013-002 and Mac OS X v10.6 Update 14 (деталі)
  • One more attack affecting Oracle’s Java SE 7u15 (деталі)
  • New security issues affecting Oracle’s Java SE 7u15 (деталі)
  • Oracle Java Multiple Vulnerabilities (деталі)
  • Updated Release of the February 2013 Oracle Java SE Critical Patch Update (деталі)
  • Oracle Java SE Critical Patch Update Advisory - February 2013 (деталі)

Інфіковані сайти №151

22:41 26.03.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://dynamomania.com - інфекція була виявлена 28.12.2012. Зараз сайт не входить до переліку підозрілих.
  • http://gothic.com.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://gloriamed.com.ua - інфекція була виявлена 09.11.2012. Зараз сайт не входить до переліку підозрілих.
  • http://mdpu.org.ua - інфекція була виявлена 06.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://profcom.kiev.ua - інфекція була виявлена 07.03.2013. Зараз сайт входить до переліку підозрілих.
  • http://melitopolonline.net - інфекція була виявлена 05.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://avk7.com.ua - інфекція була виявлена 05.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://allindustry.com.ua - інфекція була виявлена 25.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://misto.zp.ua - інфекція була виявлена 20.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://rusfight.pp.ua - інфекція була виявлена 18.02.2013. Зараз сайт не входить до переліку підозрілих.

Вийшов Google Chrome 25

20:23 26.03.2013

У лютому, 22.02.2013, майже через півтора місяці після виходу Google Chrome 24, вийшов Google Chrome 25.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 22 уразливості, з яких 8 позначені як небезпечні. Це майже стільки ж як у попередній версії браузера.

Уразливості, що мають статус небезпечних, відзначені в звуковій підсистемі, IPC, SVG, коді для роботи з БД, декодувальнику vorbіs, обробнику URL і системі плагінів. Окремо відзначається відключення за замовчуванням підтримки MathML через виявлення проблем безпеки і необхідності переробки представленої в минулому випуску реалізації.

Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

Добірка експлоітів

17:05 26.03.2013

В даній добірці експлоіти в веб додатках:

  • Sami FTP Server LIST Command Buffer Overflow Vulnerability (деталі)
  • Apache Struts ParametersInterceptor Remote Code Execution (деталі)
  • Mutiny Remote Command Execution Vulnerability (деталі)
  • TP-Link TL-WR740N Wireless Router Remote Denial Of Service (деталі)
  • GnuTLS libgnutls Double-free Certificate List Parsing Remote DoS (деталі)

Численні XSS уразливості в IBM Lotus Domino

23:51 25.03.2013

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема численні Cross-Site Scripting. Про попередні уразливості в Lotus Domino я вже раніше повідомив IBM, а про нові дірки я повідомив розробникам у грудні.

Раніше я вже писав про уразливості в IBM Lotus Domino, що стосувалися Domino WebMail. До попередніх двох дірок, додам нові уразливості в WebMail.

Cross-Site Scripting (WASC-08):

Атака можлива через data: і vbscript: URI.

http://site/mail/x.nsf/CalendarFS?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/mail/x.nsf/WebInteriorCalendarFS?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/mail/x.nsf/ToDoFS?OpenFrameSet?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/mail/x.nsf/WebInteriorToDoFS?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі Lotus Domino 8.5.4 та попередні версії. Як мені повідомили з IBM, дані уразливості будуть виправлені в Domino 9. І враховуючи, що він вже вийшов у березні, я оприлюднив дану інформацію. Також існує обхідний метод захисту від даних XSS через спеціальні налаштування веб сервера (що IBM навела в своєму advisory для вищезгаданих XSS уразливостей), що можуть використати користувачі попередніх версій Domino.