Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Hard-coded accounts on multiple network cameras (деталі)
• Secure Entry Server - URL Redirection (деталі)
• Jenkins v1.523 Default markup formatter permits offsite-bound forms (деталі)
• Plain Text Password In SonarQube Jenkins Plugin (деталі)
• Vulnerability in Squid (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Spider Video Player, TDO-Mini-Forms та Husker-Portfolio. Для котрих з’явилися експлоіти. Spider Video Player - це відео плеєр, TDO-Mini-Forms - це плагін для створення форм, Husker-Portfolio - це плагін для створення портфоліо.

• WordPress Spider Video Player 2.1 Cross Site Scripting (деталі)
• WordPress TDO-Mini-Forms Shell Upload (деталі)
• WordPress Husker-Portfolio Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2011 - 2013 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2011, 2012 і 2013 роках.

За весь 2011 рік в Уанеті було інфіковано 233 веб сайтів.

За весь 2012 рік в Уанеті було інфіковано 202 веб сайтів.

За весь 2013 рік в Уанеті було інфіковано 226 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси).

Динаміка зараження сайтів в Уанеті.

В 2011 році активність зменшилась на 11% порівняно з 2010 роком (спад в 1,1 рази). В порівнянні з 2008 роком активність зросла на 5725% (в 58,25 разів).

В 2012 році активність зменшилась на 13% порівняно з 2011 роком (спад в 1,15 рази). В порівнянні з 2008 роком активність зросла на 4950% (в 50,5 разів).

В 2013 році активність збільшилась на 12% порівняно з 2012 роком (зростання в 1,12 рази). В порівнянні з 2008 роком активність зросла на 5550% (в 56,5 разів).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. І хоча через зменшення моїх досліджень мало місце загальне зменшення динаміки в два передостанні роки, торік кількість інфікованих сайтів зросла.

Виявлена уразливість використання пам’яті після звільнення в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Use-after-free уразливість в VGX.DLL активно використовується in-the-wild.

• Microsoft Security Bulletin MS14-021 - Critical Security Update for Internet Explorer (2965111) (деталі)

В даній добірці експлоіти в веб додатках:

• Zyxel Prestige 660H-61 ADSL Router - RPSysAdmin.HTML Cross-Site Scripting Vulnerability (деталі)
• ZyXEL Router P-660HN-T1A - Login Bypass Vulnerability (деталі)
• Ubee EVW3200 - Multiple Persistent Cross Site Scripting Vulnerability (деталі)
• Synology DSM 4.3-3827 (article.php) - Blind SQL Injection Vulnerability (деталі)
• McAfee Asset Manager 6.6 - Multiple Vulnerabilities (деталі)
• Java 6 Update 27 Download and Execute Vulnerability (деталі)
• Oracle Forms / Reports Remote Code Execution Exploit (деталі)
• Eudora Qualcomm WorldMail 9.0.333.0 IMAPd Service UID - Buffer Overflow (деталі)
• MediaWiki Thumb.php Remote Command Execution Exploit (деталі)
• WRT120N 1.0.0.7 Stack Overflow Exploit (деталі)