Websecurity - Веб безпека

Виявлена можливість ін’єкції заголовків у Perl модулі Dancer.

Уразливі версії: perl-Dancer 1.311.

Включення заголовків у методах роботи з кукісами.

• Vulnerability in perl-Dancer (деталі)

В даній добірці уразливості в веб додатках:

• HP ArcSight Connector Appliance and ArcSight Logger, Remote Disclosure of Information, Command Injection, Cross-Site Scripting (XSS) (деталі)
• openconnect security update (деталі)
• SAP Netweaver Message Server Multiple Vulnerabilities (деталі)
• Multiple Vulnerabilities in Netgear DGN2200B (деталі)
• Unauthenticated remote access to D-Link DIR-645 devices (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vodaif.gov.ua - інфікований державний сайт - інфекція була виявлена 26.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://ksm.nau.edu.ua - інфекція була виявлена 02.07.2013. Зараз сайт входить до переліку підозрілих.
• http://kharkov-fishing.org - інфекція була виявлена 09.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://airsys.com.ua - інфекція була виявлена 29.06.2013. Зараз сайт входить до переліку підозрілих.
• http://fishing.vn.ua - інфекція була виявлена 18.04.2013. Зараз сайт не входить до переліку підозрілих.

Виявлена можливість підвищення привілеїв у Perl модулі Module::Signature.

Уразливі версії: Module::Signature 0.68.

Викликається додаток по відносному шляху.

• Module::Signature perl module vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• D-Link DIR-300/600/645/845/865 OS-Command Injection via UPnP Interface (деталі)
• WiFilet v1.2 iPad iPhone - Multiple Vulnerabilities (деталі)
• Bifrost 1.2.1 - Remote Buffer OverFlow Vulnerability (деталі)
• Java Applet ProviderSkeleton Insecure Invoke Method Exploit (деталі)
• InstantCMS 1.6 Remote PHP Code Execution Vulnerability (деталі)

В останніх версіях WordPress було виправлено чимало уразливостей. Але є такі виправлені уразливості, про які розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок). Про такі випадки я писав неодноразово, вони полюбляють це робити, і зараз наведу нові приклади.

Раніше я вже писав про FPD уразливість в WordPress.

З WordPress постачається плагін Akismet - він входить в ядро WP. В ньому періодично виправляють уразливості, але якщо в readme.txt плагіна розробники згадують про це, то в анонсах виправлень движка вони не згадують ні про ці дірки, ні про оновлення версії Akismet (з виправленими уразливостями), що постачається з новою версію движка. А в WP 3.5.1 та 3.5.2 були оновлені версії Akismet.

У версії WordPress 3.5.1 оновили Akismet з 2.5.6 до 2.5.7. В цій версії плагіна є виправлені уразливості, що додає виправлених дір в релізі 3.5.1. Зокрема виправили декілька Full path disclosure уразливостей та додали .htaccess для блокування прямого доступу до файлів плагіна (що актуально лише для Apache).

У версії WordPress 3.5.2 оновили Akismet з 2.5.7 до 2.5.8. В цій версії плагіна є секюріті покращення (які саме не уточнюється), що додає виправлених дір в релізі 3.5.2.

За повідомленням www.xakep.ru, SSL: перехопимо сьогодні, розшифруємо завтра.

Мільйони веб сайтів покладаються на SSL для захисту конфіденційної інформації, що передається по загальнодоступних каналах. Передбачається, що використання криптографічного захисту підвищує безпеку даних. У той же час недавно стали відомі секретні розпорядження АНБ по запису великих обсягів зашифрованого інтернет-трафіку для подальшого криптоаналізу.

Сенс запису зашифрованого трафіку в тім, що в майбутньому може виявитися доступним ключ для його розшифровки: у результаті судової постанови, соціальної інженерії, успішної атаки на веб сайт чи шляхом криптоаналізу.

Щоб уникнути негативних наслідків, експерти рекомендують використовувати шифри досконалої прямої таємності (Perfect forward secrecy). Такі шифри гарантують, що сесійні ключі, отримані за допомогою набору відкритих і закритих ключів довгострокового користування, не будуть скомпрометовані при компрометації одного з закритих ключів. При використанні PFS компрометація секретного ключа SSL не дозволить розшифрувати попередній трафік.

За повідомленням www.oszone.net, Microsoft пропонує винагороди за знаходження уразливостей у Windows 8.1 та IE11.

Компанія Microsoft анонсувала програму по пошуку несправностей та експлоітів у версії Windows 8.1 Preview, що була представлена на конференції BUILD 26 червня. Той, кому пощастить знайти по-справжньому невідомий дотепер експлоіт, зможе розраховувати на одержання круглої суми в $100 тисяч як винагороду по програмі Mitigation Bypass Bounty.

Таким фінансовим стимулюванням редмондська компанія бажає відшліфувати нову версію своєї операційної системи в плані безпеки. А пошук уразливостей IE11 у рамках програми IE11 Preview Bug Bounty триватиме з 26 червня по 26 липня.

За повідомленням www.xakep.ru, розсекречений Android майстер-ключ робить уразливими 99% пристроїв.

Фахівці з безпеки з компанії Bluebox Security повідомили про уразливість у моделі безпеки операційної системи Android, що дозволяє зловмиснику модифікувати уміст файлу APK, не змінюючи його криптографічного підпису.

Іншими словами, у будь-який додаток можна додати троян, зберігши криптографічний підпис оригінального автора додатка. Технічні подробиці про уразливість будуть розкриті у виступі на конференції Black Hat USA 2013, що почнеться 27 липня 2013 року.

Про проблеми з криптографією в додатках під Android я вже писав раніше. Як і про уразливості в різних додатках під цю ОС.

Вчора вийшла нова версія програми DAVOSET v.1.0.9. В новій версії:

• Додав підтримку CSRF токенів.
• Додав новий сервіс в повний список зомбі.
• Покращив роботу з адресами без завершального прямого слеша.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.0.9.rar.

19.02.2013

У липні, 14.06.2012, я знайшов нові уразливості на http://www.forum.ua - сайті банка Форум. Цього разу це Cross-Site Scripting та Redirector дірки. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на forum.ua. Тоді дірки були в системі онлайн-банкінгу, а зараз на основному сайті банка.

Детальна інформація про уразливості з’явиться пізніше.

06.07.2013

XSS:

• alert(document.cookie) (javascript URI)
• alert(document.cookie) (data URI)

Redirector (URL Redirector Abuse):

http://www.forum.ua/forumua/search/index.jsp/do.search?resultsURL=http://websecurity.com.ua

Дані уразливості досі не виправлені.

У версії WordPress 3.5.2 розробники виправили багато уразливостей. Але є уразливості, що були виправлені в цій версії, про які розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок).

У липні, 02.07.2013, я дослідив зміни в останній версії движка і виявив Full path disclosure уразливість. Про яку не згадали в описі релізу WP 3.5.2 (при тому, що вони згадали про іншу FPD). Що типово для розробників WP - ще з 2007 року вони часто приховують виправлені уразливості.

Раніше я вже писав про XXE уразливість в WordPress.

Full path disclosure (WASC-13):

http://site/wp-admin/users.php?s=http://

Має місце FPD при пошуку в розділі Users (коли рядок пошуку починається з http:// або https://).

Уразливі версії WordPress 3.4 - 3.5.1.