Websecurity - Веб безпека

24.04.2013

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, People Soft і MySQL.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, 5.5 і 5.6, Oracle E-Business Suite 11i, JRockit 28.2, WebLogic Server 12.1, PeopleSoft HRMS 9.1, PeopleSoft PeopleTools 8.53 та інші продукти Oracle.

128 різних уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Oracle Critical Patch Update Advisory - April 2013 (деталі)

15.05.2013

Додаткова інформація.

• Oracle Retail Invoice Manager SQL Injection (деталі)
• Oracle Retail Integration Bus Manager Directory Traversal (деталі)
• Oracle 11g TNS listener remote Invalid Pointer Read (pre-auth) (деталі)
• Oracle 11g TNS listener remote Null Pointer Dereference (pre-auth) (деталі)

В даній добірці експлоіти в веб додатках:

• Cisco Linksys E1200 / N300 Cross Site Scripting Vulnerability (деталі)
• D-Link DNS-323 - Multiple Vulnerabilities (деталі)
• MoinMelt Arbitrary Command Execution Exploit (деталі)
• ColdFusion 9 / 10 Remote Root Exploit (деталі)
• Syslog Watcher Pro 2.8.0.812 - (Date Parameter) - XSS Vulnerability (деталі)

У лютому, 07.02.2013, я виявив Cross-Site Scripting уразливості в плагінах для WordPress, що містять VideoJS. Раніше я писав про уразливості в VideoJS.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку VideoJS через Гугл дорки виводиться 446000 сайтів, а при пошуку по плагінам для WordPress можна знайти 178000 сайтів з цією флешкою.

На додачу до плагіна VideoJS - HTML5 Video Player for WordPress, про якого я писав раніше, ось нові плагіни з цим плеєром. Серед них Video Embed & Thumbnail Generator, External “Video for Everybody”, 1player, S3 Video і EasySqueezePage. Та існують інші уразливі плагіни для WordPress з video-js.swf (судячи з гугл дорка). Розробники VideoJS випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

Video Embed & Thumbnail Generator:

http://site/wp-content/plugins/video-embed-thumbnail-generator/video-js/video-js.swf?readyFunction=alert(document.cookie)

External “Video for Everybody”:

http://site/wp-content/plugins/external-video-for-everybody/video-js/video-js.swf?readyFunction=alert(document.cookie)

1player:

http://site/wp-content/plugins/1player/players/video-js/video-js.swf?readyFunction=alert(document.cookie)

S3 Video:

http://site/wp-content/plugins/s3-video/misc/video-js.swf?readyFunction=alert(document.cookie)

EasySqueezePage:

http://site/wp-content/plugins/EasySqueezePage/videojs/video-js.swf?readyFunction=alert(document.cookie)

Вразливі наступні веб додатки: Video Embed & Thumbnail Generator 4.0.3 і попередні версії, External “Video for Everybody” 2.0 і попередні версії, 1player 1.2 і попередні версії, S3 Video 0.97 і попередні версії, EasySqueezePage (всі версії).

Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.

Виявлені уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 6.0, Tomcat 7.0.

DoS, перехоплення сеансу, витік інформації.

• Request mix-up if AsyncListener method throws RuntimeException (деталі)
• Session fixation with FORM authenticator (деталі)
• Chunked transfer encoding extension size is not limited (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://labsoft.at.ua - інфекція була виявлена 24.04.2013. Зараз сайт входить до переліку підозрілих.
• http://reafarm.com.ua - інфекція була виявлена 11.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://add.in.ua - інфекція була виявлена 13.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://clubfoto.at.ua - інфекція була виявлена 03.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://ykrbiz.com - інфекція була виявлена 12.06.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• HP LaserJet Pro 400 Multi Function Printers, Remote Unauthorized Access (деталі)
• Multiple vulnerabilities in Open-Xchange (деталі)
• HP LaserJet and Color LaserJet, Cross-Site Scripting (XSS) (деталі)
• zoneminder security update (деталі)
• HP Intelligent Management Center User Access Manager (UAM), Remote Execution of Arbitrary Code (деталі)
• typo3-src security update (деталі)
• Buffer overflow in Cisco Unified MeetingPlace Web Conferencing (деталі)
• smokeping security update (деталі)
• SQL injection vulnerability in Cisco Unified MeetingPlace (деталі)
• SynConnect PMS SQL Injection Vulnerability (деталі)

26.03.2013

У березні, 15.03.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні Search and Share для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в BuddyPress для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

11.05.2013

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/wp-content/plugins/search-and-share/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Full path disclosure (WASC-13):

http://site/wp-content/plugins/search-and-share/SearchAndShare.php

http://site/wp-content/plugins/search-and-share/error_log (на сайтах, де відключене виведення помилок в php-файлах і вони записуються в error_log)

Уразливі Search and Share 0.9.3 та попередні версії. Додаток може працювати як плагін для WP, так і як стаціонарна програма.

За повідомленням www.xakep.ru, взломаний офісний будинок Google.

Хоча австралійський підрозділ Google чітко дотримувався правил інформаційної безпеки у відношенні комп’ютерних мереж, а взломали їх через промислову систему менеджменту будинку, в якому розміщений офіс.

Мова йде про офіс Google Wharf 7. Хакерська компанія Cylance здійснила атаку, скориставшись уразливістю в системі менеджменту будинку Tridium Niagara.

Як видно з цього прикладу, не тільки китайські хакери атакують Гугла, і не тільки на сайтах і в додатках Гугла знаходять дірки, а ще й взламують через систему менеджменту будинку .

За повідомленням podrobnosti.ua, боротьба з піратами: в Україні закрили великий онлайн-кінотеатр.

Правоохоронні органи України 18 квітня закрили черговий великий піратський інтернет-ресурс - my-hit.ru. Як повідомляється, позов був поданий юридичною компанією, що співробітничає з такими телегрупами, як “1+1″, “StarLightMedia”, “Медіа Група Україна”.

Експерти відзначають, що, у зв’язку з загрозою застосування до України санкцій з боку США за поширення піратського контента, боротьба з такими ресурсами зараз активізувалася.

Про це я також чув в новинах від міністра МЗС. Це черговий випадок закриття сайта через неліцензійний контент. Зазначу, що скаргу на my-hit.ru подала юридична компанія Віндекс, з ініціативи якої на початку 2012 року МВС провело обшук в офісі ex.ua.

За повідомленням www.xakep.ru, адмін нелегально добував біткоіни на комп’ютерах 14 тисяч геймерів.

Якби ви грали в Counter-Strike через ігрову мережу E-Sports Entertainment, то останнім часом помітили б явний стрибок енергоспоживання на своєму ПК. Що було пов’язано з включенням прихованого коду для нелегального майнінга біткоінів в античітерський клієнт ESEA. Два роки тому я вже писав про такого трояна для генерації Bitcoin.

Один з адмінів ESEA написав на форумі, що вони з колегою проводять експеримент по майнінгу біткоінів на комп’ютерах користувачів. Вони запитували поради в співтовариства, чи потрібно продовжувати цей експеримент, якщо за 48 годин удалося намайніти 1,91 BTC. Загальна вартість добутих монет склала $3713,55.

У квітні, 11.04.2013, вийшов Mozilla Firefox 20.0.1. Нова версія браузера вийшла лише через дев’ять днів після виходу Firefox 20. І в ній виправлений баг допущений в останньому релізі.

Mozilla представила коригувальний випуск Firefox 20.0.1 у якому усунутий один баг. Це виправлення стосується лише версії браузера для Windows - покращена робота зі шляхами UNC.

В даній добірці експлоіти в веб додатках:

• D-Link DIR-635 Cross Site Request Forgery / Cross Site Scripting (деталі)
• D-Link IP Cameras Injection / Bypass Vulnerabilities (деталі)
• Microsoft Internet Explorer CGenericElement Object Use-After-Free (деталі)
• Dovecot with Exim sender_address Parameter - Remote Command Execution (деталі)
• Memcached Remote Denial Of Service (деталі)