Websecurity - Веб безпека

Виявлені уразливості безпеки в Ruby.

Уразливі версії: Ruby 2.1.

DoS, обхід обмежень.

• Ruby vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• SQL injection vulnerability in Cisco Network Admission Control (NAC) Manager (деталі)
• SilverStripe Framework CMS 3.0.5 - Multiple Web Vulnerabilities (деталі)
• elproLOG MONITOR WebAccess 2.1 - Multiple Web Vulnerabilities (деталі)
• WebAssist PowerCMS PHP - Multiple Web Vulnerabilities (деталі)
• Multiple Vulnerabilities in D-Link DIR-635 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Image Resizer, WP Realty та WooCommerce. Для котрих з’явилися експлоіти. Image Resizer - це плагін для масштабування зображень, WP Realty - це плагін, WooCommerce - це е-комерс плагін для додання кошика покупця.

• WordPress Image Resizer Cross Site Scripting (деталі)
• WordPress WP Realty Blind SQL Injection (деталі)
• WordPress WooCommerce 2.0.17 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У грудні, 10.12.2013, вийшов Mozilla Firefox 26. Нова версія браузера вийшла через півтора місяця після виходу Firefox 25.

Mozilla офіційно випустила реліз веб-браузера Firefox 26, а також мобільну версію Firefox 26 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 27 намічений на 7 лютого, а Firefox 28 на 18 березня.

Також був випущений Seamonkey 2.23 та оновлені гілки із тривалим терміном підтримки Firefox 24.2.0 і Thunderbird 24.2.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 26.0 усунуто 14 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Також до покращень безпеки можна віднести блокування Java по замовчуванню та розширення підтримки технології Content Security Policy (CSP). Усі Java-аплети відтепер будуть за замовчуванням відключені, а пов’язаний з ними контент зажадає для своєї активації кліка на спеціальній області (Click to Play). Якщо раніше показ контента блокувався тільки для окремих версій Java-плагінів, занесених у чорний список через наявність уразливостей, то тепер за замовчуванням буде блокуватися будь-який Java контент.

• Релиз Firefox 26 (деталі)

На початку грудня відбулося чимало атак в зв’язку з політичними подіями. Як я писав раніше, ви можете подивися мої відео з Євромайдану в Києві, що я знімаю починаючи з 25.11.2013.

Починаючи з 30.11.2013 і до середини місяця відбулося чимало DoS і DDoS атак в Уанеті.

Українські хакери в якості акції протесту провели DDoS атаки на державні сайти (атака на сайт МВС тривала протягом тижня):

DDoS на mvs.gov.ua - 30.11.2013
DDoS на president.gov.ua - 01.12.2013
DDoS на kmu.gov.ua - 01.12.2013

Міліція провела штурми офісів політичних партій та ЗМІ, в результаті яких вилучила сервери, що призвело до тимчасового блокування роботи їхніх сайтів:

DoS на batkivshchyna.com.ua (після штурму МВС офісу “Батьківщини”) - 09.12.2013
DoS на gazetavv.com (після штурму МВС офісу газети) - 09.12.2013
DoS на intv.ua (після штурму МВС офісу газети) - 09.12.2013
DoS на censor.net.ua (після штурму МВС офісу газети) - 09.12.2013

Також невідомими хакерами (явно провладними) були атаковані сайти ЗМІ:

DDoS на 5.ua - 07.12.2013
DDoS на hromadske.tv - 09.12.2013
DDoS на liga.net - 14.12.2013

В даній добірці експлоіти в веб додатках:

• WBR-3406 Wireless Broadband NAT Router Web-Console - Password Change Bypass & CSRF Vulnerability (деталі)
• TPLINK WR740N/WR740ND - Multiple CSRF Vulnerabilities (деталі)
• Apache Magicka Remote Code Execution Vulnerability (деталі)
• ImpressPages CMS v3.6 manage() Function Remote Code Execution Exploit (деталі)
• Avid Media Composer 5.5 - Avid Phonetic Indexer Stack Overflow (деталі)