Websecurity - Веб безпека

Виявлена проблема символьних лінків в Perl модулі XML-DT.

Уразливі версії: Perl XML-DT 0.63.

Можна провести symlink атаку через у mkxmltype і mkdtskel.

• Vulnerability in perl-XML-DT (деталі)

В даній добірці уразливості в веб додатках:

• Security Notice for CA SiteMinder (деталі)
• otrs2 security update (деталі)
• Authentication-Bypass in CosmoShop ePRO V10.17.00 (and lower, maybe higher) (деталі)
• Information Disclosure when using Grails (деталі)
• HP System Management Homepage (SMH) running on Linux and Windows, Multiple Remote and Local Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах VideoWhisper Live Streaming, BSK PDF Manager та Sixtees. Для котрих з’явилися експлоіти. VideoWhisper Live Streaming - це плагін для трансляції відео, BSK PDF Manager - це плагін для управління pdf документами, Sixtees - це тема движка.

• WordPress VideoWhisper Live Streaming 4.29.6 Cross Site Scripting (деталі)
• WordPress BSK PDF Manager 1.3 Cross Site Scripting (деталі)
• WordPress Sixtees Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про атаки на мережеві користувацькі пристрої, пропоную нове відео на секюріті тематику. Цього разу відео про RFID хакінг. Рекомендую подивитися всім хто цікавиться цією темою.

Defcon 21 - RFID Hacking: Live Free or RFID Hard

Рік тому на конференції DEFCON 21 відбувся виступ Francis Brown. В своєму виступі він розповів про атаки на пристрої і карти з RFID чіпами. Та про інструменти для цих атак.

Він продемонстрував процес RFID хакінга. Рекомендую подивитися дане відео для розуміння сучасного стану безпеки бездротових пристроїв.

Виявлена можливість підміни сигнатур RSA у бібліотеці Mozilla NSS.

Уразливі продукти: Mozilla Firefox 32.0, Firefox ESR 31.1, Thunderbird 31.1, SeaMonkey 2.29, NSS 3.17.

Обхід перевірки сигнатури через неправильну обробку довжини запису в ASN.1.

• Mozilla Foundation Security Advisory 2014-73 (деталі)

В ніч з четверга на п’ятницю, 02.10.2014, Українські Кібер Війська звернулися до Петра Олексійовича Порошенка. Звернення Українських Кібер Військ було розміщене на сайті Державної служби зайнятості. Стосовно звільнення Гелетея з посади Міністра Оборони України.

Саме звернення розмістили через XSS уразливість на dcz.gov.ua. На цьому сайті я виявив дві Cross-Site Scripting уразливості.

Раніше я вже писав про уразливості на kvs.gov.ua, dcz.gov.ua та kmu.gov.ua.

Ось демонстрація звернення.

У вересні, 19.09.2014, вийшов Mozilla Firefox 32.0.2. Нова версія браузера вийшла через 6 днів після виходу Firefox 32.0.1.

Це коригувальний випуск в якому усунуто проблему, що приводить до краху при спробі виконати оновлення пошкодженої інсталяції Firefox.

У вересні, 25.09.2014, вийшли Mozilla Firefox 32.0.3 та Firefox ESR 24.8.1, 31.1.1, Thunderbird 24.8.1, 31.1.2 і SeaMonkey 2.29.1. А також вийшов Google Chrome 37.0.2062.124.

У нових випусках усунута небезпечна уразливість у бібліотеках, що поставляються в комплекті NSS, що допускає створення підроблених RSA-сертифікатів. Проблема також усунута у оновленнях NSS 3.16.2.1, NSS 3.16.5 і NSS 3.17.1.

Скориставшись даною уразливістю, нападник може сформувати фальсифікований RSA-сертифікат, що може бути застосований для виведення індикатора довіри при організації захищеного з’єднання з підробленим сайтом, закамуфльованим під інший сайт.

Раніше я писав про серпневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у вересні.

В зв’язку з сепаратистськими і терористичними акціями на сході України в цьому місяці хакерська активність значно збільшилася. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими та іноземними хакерами були атаковані наступні сайти:

DDoS на golos.ua - 01.09.2014
DDoS на censor.net.ua - 02.09.2014
DDoS на investigator.org.ua - 05.09 і 15.09.2014

Іноземними хакерами були проведені неполітичні взломи державний сайтів:

dik.gov.ua (хакером Lootz) - 04.09.2014
chasovrada.gov.ua (хакером Ali-HAwleRy) - 10.09.2014
ratadmin.gov.ua (хакером KkK1337) - 09.09.2014
www.manadm.gov.ua (хакером KkK1337) - 09.09.2014

Проукраїнськими хакерами були атаковані наступні сайти:

Вересневі DDoS атаки на сайти ДНР і ЛНР
Сайт day.zp.ua закрився після DDoS атак - 09.2014

Сайти ДНР і ЛНР були атаковані неодноразово на протязі вересня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт oplotclub.com (через скаргу хостеру) - 17.09.2014
Закритий сайт borotba.org (через скаргу хостеру) - 17.09.2014
Закритий сайт novorossia.center (через скаргу хостеру) - 17.09.2014
Закритий сайт pomnim.in (через скаргу хостеру) - 17.09.2014

Виявлений витік інформації в nginx.

Уразливі версії: nginx 1.4.

Некоректне використання кешованих сесій.

• nginx vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• Subex ROC Fraud Management System 7.4 SQL Injection Vulnerability (деталі)
• IP Board 3.x CSRF - Token hjiacking Vulnerability (деталі)
• CacheGuard-OS 5.7.7 - CSRF Vulnerability (деталі)
• Easy Address Book Web Server 1.6 - Stack Buffer Overflow (деталі)
• Dotclear Media Manager Authenticated Arbitrary File Upload Exploit (деталі)