Websecurity - Веб безпека

Виявлена можливість обходу захисту в Oracle Java та IBM Java.

Уразливі продукти: JRE 1.7 (версії від Oracle та IBM).

Вихід з обмеженого середовища через Reflection API.

• Yet another Reflection API flaw affecting Oracle’s Java SE (деталі)
• New security vulnerabilities and broken fixes in IBM Java (деталі)

14.02.2013

У січні, 27.01.2013, а потім додатково 07.02.2013, я виявив Denial of Service та Cross-Site Scripting уразливості в VideoJS Flash Component. Це флеш компонент відео плеєра VideoJS. Про що раніше вже повідомив розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше.

07.05.2013

Окрім XSS дірки в VideoJS, також є DoS дірка, що торкається плеєра, яка стосується Flash Player і яку Adobe виправила ще 12.02.2013. Дана DoS (BSOD) уразливість у флеш плагіні спрацьовувала лише в цьому плеєрі.

Нещодавно, 30.04.2013, розробники виправили XSS уразливість в вихідному коді програми, а 02.05.2013, після мого нагадування, відкомпілювали флешку і завантажили її в обидва своїх репозитарії. На цьому тижні вони планують офіційно випустити VideoJS 4.0.

Cross-Site Scripting (WASC-08):

http://site/video-js.swf?readyFunction=alert(document.cookie)

Але виправлення в VideoJS Flash Component 3.0.2 не захищає проти наступних атак:

http://site/video-js.swf?readyFunction=alert

http://site/video-js.swf?readyFunction=prompt

http://site/video-js.swf?readyFunction=confirm

Вразливі версії перед VideoJS Flash Component 3.0.2 і VideoJS 4.0. Версії VideoJS Flash Component 3.0.2 і VideoJS 4.0 не вразливі до даної XSS дірки, але вразливі до XSS через JS калбеки (подібно до JW Player). А також є вищенаведені обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тим не менш вони обіцяли зайнятися цим в наступних версіях.

У квітні, 11.04.2013, вийшли PHP 5.3.24 та PHP 5.4.14. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було. Лише згадується оновлення бібліотеки PCRE.

По матеріалам http://www.php.net.

Виявлене пошкодження пам’яті в Apple Safari та WebKit.

Уразливі версії: Apple Safari 6.0.

Пошкодження пам’яті через SVG.

• APPLE-SA-2013-04-16-1 Safari 6.0.4 (деталі)

В даній добірці експлоіти в веб додатках:

• DLink DIR-615 Hardware rev D3 / DIR-300 - Hardware rev A - Multiple Vulnerabilities (деталі)
• Uploadify v3.0.0 XSS Vulnerability (деталі)
• SAP ConfigServlet Remote Unauthenticated Payload Execution (деталі)
• Ipswitch IMail 11.01 XSS Vulnerability (деталі)
• iOS 6.0-6.1.3 MobileSafari Crash (деталі)

Нещодавно, 01.05.2013 я виявив нову Cross-Site Scripting уразливість в JW Player і JW Player Pro (що вже виправлена розробником). Вона стосується обох версій JW Player (безкоштовної і комерційної).

Раніше я вже писав про Content Spoofing та XSS уразливості в JW Player та JW Player Pro. Це нова XSS і про неї я не писав торік. Якщо дві попередні strictly social XSS дірки були в JW Player Pro, то ця дірка працює в обох версіях.

XSS (WASC-08):

http://site/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

Для проведення атаки окрім параметра link потрібно вказати параметри displayclick=link та file. Якщо в параметрі file вказати відео, то це повинна бути адреса існуючого відео-файла, а якщо вказати зображення, то це може бути довільне ім’я jpg-файла (навіть неіснуючого).

Swf-файли JW Player можуть мати різні імена, такі як jwplayer.swf та player.swf.

Вразливі JW Player та JW Player Pro 5.10.2295 та попередні версії. Розробник виправив уразливість 20.08.2012 у версії 5.10.2393, разом з виправленням двох попередніх strictly social XSS дірок, про які я писав торік. Зазначу, що всі версії JW Player (з підтримкою калбеків), включаючи останні 6.x версії, все ще вразливі до XSS через JS калбеки, про що я писав у першому записі.

Виявлене цілочислене переповнення в nginx.

Уразливі версії: nginx 1.4.

Цілочислене переповнення приводить до можливості виконання коду.

• Nginx ngx_http_close_connection function integer overflow (деталі)
• Re: Nginx ngx_http_close_connection function integer overflow (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gdz.org.ua - інфекція була виявлена 25.04.2013. Зараз сайт входить до переліку підозрілих.
• http://osvitakp.com.ua - інфекція була виявлена 10.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://chutovo.at.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://kam-pod.in.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://dukat.km.ua - інфекція була виявлена 22.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://1school.vn.ua - інфекція була виявлена 04.03.2013. Зараз сайт входить до переліку підозрілих.
• http://tenet.km.ua - інфекція була виявлена 21.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://direktor.at.ua - інфекція була виявлена 04.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://dir.com.ua - інфекція була виявлена 02.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://electron-service.com.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Fortigate UTM WAF Appliance - Cross Site Vulnerabilities (деталі)
• Fortigate UTM WAF Appliance - Multiple Web Vulnerabilities (деталі)
• Novell GroupWise iCalendar Date/Time Parsing Denial of Service (деталі)
• Fortigate UTM WAF Appliance - Multiple Web Vulnerabilities (деталі)
• RSA BSAFE Micro Edition Suite Security Update for BEAST (Browser Exploit Against SSL/TLS) attacks (деталі)
• Vulnerability in Beaker (at using PyCrypto) (деталі)
• RSA BSAFE SSL-C Multiple Vulnerabilities (деталі)
• TP-LINK TL-WR841N XSS (Cross Site Scripting) (деталі)
• TP-LINK TL-WR841N LFI (деталі)
• Multiple peristent XSS, XSS, XSRF, offsite redirection and information disclosure flaws within CheckPoint/Sofaware firewalls (деталі)