Websecurity - Веб безпека

Виявлене переповнення буфера в PCRE.

Уразливі версії: PCRE 8.36.

Переповнення буфера при розборі регулярних виразів.

• Vulnerability in pcre (деталі)

В даній добірці уразливості в веб додатках:

• pineapp mailsecure remote no authenticated privilege escalation & remote execution code (деталі)
• Django: Malformed URLs from user input incorrectly validated (деталі)
• Multiple Stored XSS in FOG Image deployment system (деталі)
• Cobbler Arbitrary File Read CVE-2014-3225 (деталі)
• Vulnerability in Mozilla NSS (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://society.nenc.gov.ua (хакером N1Gh7 F0x) - 27.11.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://isef.nenc.gov.ua (хакером N1Gh7 F0x) - 27.11.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://docss.dn.ua (хакером ProAnje)
• http://larche-kovcheh.org.ua (хакером Riad SyR Hack) - 26.12.2014, зараз сайт вже виправлений адмінами
• http://terralex.kiev.ua (хакером Dr.AFN[D]ENA) - 16.12.2014, зараз сайт вже виправлений адмінами

25.12.2014

Виявлена можливість проведення DoS атаки проти Apache Subversion.

Уразливі версії: Apache Subversion 1.8.

Звертання по нульовій адресі в mod_dav_svn при обробці запитів REPORT.

• subversion security update (деталі)

16.01.2015

Додаткова інформація:

• Vulnerabilities in subversion (деталі)

В даній добірці експлоіти в веб додатках:

• Zikula Application Framework 1.3.6 Multiple PHP Object Injection Vulnerabilities (деталі)
• Prolink PRN2001 - Multiple Vulnerabilities (деталі)
• ManageEngine Eventlog Analyzer Arbitrary File Upload Exploit (деталі)
• Railo 4.2.1 Remote File Inclusion Exploit (деталі)
• Internet Explorer 11 Remote Code Execution 0day Exploit (деталі)

У грудні, 03.12.2014, я дав інтерв’ю виданню “Укрінформ”. І сьогодні воно було оприлюднене на сайті.

В інтерв’ю розповідається про мою діяльність і про кібер війну Росії проти України. Та про мою громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014.

Я доброволець, який воює на кіберфронті - Євген Докукін

Я доброволец, воюющий на киберфронте - Евгений Докукин

Так що кому буде цікаво прочитати інформацію про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю на Global Voices та інших журналах чи дивився прямий ефір на Радіо Свобода, так і всім іншим, можете прочитати це інтерв’ю.

А 19.01.2015 EuromaidanPR опублікував переклад мого інтерв’ю на англійську мову:

I am a volunteer fighting on the Cyberfront

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах електронних платіжних систем, банків та e-commerce сайтів України:

• LiqPAY для Android та iOS
• Проблеми з витоками персональних даних в Україні
• privatbank.ua

Також згадував про взломані онлайн магазини в Уанеті:

• umoks.com.ua
• mebeldonetsk.dn.ua
• textile-plus.com.ua

А також згадував про інфіковані онлайн магазини в Уанеті:

• myhobby.vn.ua
• megasuperomatic.com
• insel.kiev.ua
• vip-povar.kiev.ua
• kovroline.com.ua
• cosmetique.com.ua

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

У грудні, 18.12.2014, вийшли PHP 5.4.36, PHP 5.5.20 і PHP 5.6.4. У версії 5.4.36 виправлено 2 уразливості, у версіях 5.5.20 і 5.6.4 виправлено декілька багів і 1 уразливість.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.36, 5.5.20 і 5.6.4 виправлено:

• Уразливість NULL pointer dereference в unserialize().
• Уразливість Use after free в unserialize().
• Також оновлена бібліотека crypt_blowfish до версії 1.3 (в PHP 5.4.36).

По матеріалам http://www.php.net.

Виявлена ін’єкція заголовків (CRLF injection) в cURL і libcurl.

Уразливі продукти: cURL 7.39, libcurl 7.39.

Ін’єкція заголовків через URL.

• CRLF injection vulnerability in curl (деталі)

В даній добірці уразливості в веб додатках:

• RSA Data Protection Manager Appliance Multiple Vulnerabilities (деталі)
• Drupal Flag 7.x-3.5 Module Vulnerability report: Arbitrary code execution due to improper input handling in flag importer (деталі)
• Pyplate multiple vulnerabilities (деталі)
• Zenoss Open Source monitoring System - Open Redirect & Stored XSS Vulnerabilities (деталі)
• Unauthorized console access on Satechi travel router v1.5 (деталі)