Архів за Грудень, 2014

Грудневий вівторок патчів від Microsoft

22:45 27.12.2014

У грудні місяці Microsoft випустила 7 патчів. Що менше ніж у листопаді.

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Три патчі закривають критичні уразливості та чотири патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Internet Explorer, SharePoint Server та Exchange Server.

Вийшов WordPress 4.1

20:08 27.12.2014

У грудні, 18.12.2014, вийшла нова версія WordPress 4.1.

WordPress 4.1 це перший випуск нової 4.1 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему по замовчуванню, покращене візуальне редагування, що не відволікає, підтримка багатьох локалізацій і зміна мови в налаштуваннях сайту, в адмінці можна зробити повний логаут (щоб вихід був зроблений для всіх пристроїв, з яких заходили в акаунт), підтримка включення відео з Vine та рекомендації плагінів в інсталяторі плагінів.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

DoS проти Firebird

17:24 27.12.2014

Виявлена DoS уразливість в СУБД Firebird.

Уразливі версії: Firebird 2.5.

Звертання по нульовому вказівнику.

Уразливості в CMS Пилот

23:51 26.12.2014

02.08.2014

У січні, 28.01.2014, я знайшов Cross-Site Scripting та Cross-Site Request Forgery уразливості в CMS Пилот. Це українська комерційна CMS від Delta-X. Про що найближчим часом повідомлю розробникам системи.

Причому я знайшов ці уразливості на сайті Азарова :-) .

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

26.12.2014

Cross-Site Scripting (WASC-08):

Приклад XSS для IE:

http://site/index_admin_login.php?return_path=%27%22%20style=xss:expression(alert(document.cookie))%201

Cross-Site Request Forgery (WASC-09):

http://site/index_admin_login.php

Відсутність захисту в логін формі, такого як капча, призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але форма не вразлива до Brute Force, бо капча з’являється після першої спроби.

Це також можна використати для редирекції. Для цих атак потрібно мати робочий логін і пароль.

Уразливі всі версії CMS Пилот.

Витік даних у Mozilla NSS

22:48 26.12.2014

Виявлений витік даних у Mozilla NSS.

Уразливі продукти: Mozilla NSS 3.17 та інші продукти Mozilla з цією бібліотекою.

Витік інформації в декодуванні QuickDER та уразливість POODLE.

Похакані сайти №281

22:16 26.12.2014

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.alchevsk-pfu.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.agrofond.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://alexandriya-mebel.com.ua (хакером Firebox)
  • http://stankoplast.com.ua (хакером POW3R G3n3r@70R)
  • http://positum-psy.zhitomir.ua (хакерами з ayyildiz team) - 30.11.2014, зараз сайт закритий

Добірка експлоітів

17:24 26.12.2014

В даній добірці експлоіти в веб додатках:

  • PHP 5.x - Bypass Disable Functions Vulnerability (деталі)
  • ZTE ZXHN H108L Access Bypass Vulnerability (деталі)
  • NRPE 2.15 - Remote Code Execution Vulnerability (деталі)
  • vBulletin 4.0.x => 4.1.2 Automatic SQL Injection exploit (деталі)
  • LeapFTP 3.1.0 URL Handling Buffer Overflow Exploit (деталі)

Українські Кібер Війська: відео розвідка

23:51 25.12.2014

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 7 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: військова техніка терористів в Донецьку за 03.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів та гумконвой в Донецьку за 04.12.2014 - УКВ записали переміщення військової техніки терористів та російського гумконвою в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 05.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 06.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 07.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 08.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 09.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Грудневі DDoS атаки на сайти ДНР і ЛНР

22:40 25.12.2014

У листопаді вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у грудні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-14.12.2014
DDoS на ispomodnr.ru - 01-14.12.2014
DDoS на 2news.com.ua - 01-14.12.2014
DDoS на bne.su - 01-14.12.2014
DDoS на ungu.org - 01-14.12.2014
DDoS на pravdatoday.info - 01-14.12.2014
DDoS на lvs-global.ru - 01-14.12.2014
DDoS на slemtt.myjino.ru - 01-14.12.2014
DDoS на odessa-antimaydan.com - 01-14.12.2014
DDoS на cik-lnr.info - 01-14.12.2014
DDoS на molotpravdu.com - 06-14.12.2014
DDoS на kievskayarus.com.ua - 06-14.12.2014

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Добірка уразливостей

17:21 25.12.2014

В даній добірці уразливості в веб додатках:

  • Vivotek IP Cameras RTSP Authentication Bypass (деталі)
  • Cross-Site Scripting (XSS) in Offiria (деталі)
  • Сross-Site Request Forgery (CSRF) in TAO (деталі)
  • Metadata Information Disclosure in OrbiTeam BSCW (деталі)
  • XSS on Juniper JUNOS 11.4 Embedthis Appweb 3.2.3 (деталі)