Уразливості в Apache Taglibs
17:24 28.03.2015Виявлені уразливості безпеки в Apache Taglibs.
Уразливі версії: Apache Taglibs 1.2.
Виконання коду, XXE.
- CVE-2015-0254 XXE and RCE via XSL extension in JSTL XML tags (деталі)
Виявлені уразливості безпеки в Apache Taglibs.
Уразливі версії: Apache Taglibs 1.2.
Виконання коду, XXE.
У січні, 21.01.2015, через два місяці після виходу Google Chrome 39, вийшов Google Chrome 40.
В браузері зроблено багато нововведень. Та виправлені численні уразливості.
Також зроблено наступні покращення безпеки: додана можливість блокування профілю в браузері для запобігання доступу сторонніх до облікового запису (коли це потрібно) та додана підтримка нових директив, представлених у другій версії специфікації Content Security Policy (CSP).
Виправлені 62 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що значно більше ніж в попередній версії.
У лютому вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у березні.
Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.
DDoS на cik-lnr.info - 01-15.03.2015
DDoS на molotpravdu.com - 01-15.03.2015
DDoS на без-вести.рф - 01-15.03.2015
DDoS на ungu.org - 01-15.03.2015
DDoS на pravdatoday.info - 01-15.03.2015
DDoS на 2news.com.ua - 01.03.2015
DDoS на globalresearch.ca - 01.03.2015
DDoS на bne.su - 01-15.03.2015
DDoS на lvs-global.ru - 01-15.03.2015
DDoS на slemtt.myjino.ru - 01-15.03.2015
Та інші сайти ДНР і ЛНР.
Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.
У січні, 22.01.2015, вийшли PHP 5.4.37, PHP 5.5.21 і PHP 5.6.5. У версії 5.4.37 виправлено 6 уразливостей, у версіях 5.5.21 і 5.6.5 виправлено декілька багів і 8 уразливостей.
Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.
У PHP 5.4.37, 5.5.21 і 5.6.5 виправлено:
По матеріалам http://www.php.net.
В даній добірці експлоіти в веб додатках:
22.08.2014
Сьогодні я знайшов уразливості в різних моделях мережевих камер Hikvision. Це IP Camera та DVR пристрої. Зокрема Brute Force та Abuse of Functionality уразливості.
Уразливі моделі: Hikvision DS-2CD2412F-IW, DS-2CD2412F-I, DS-7204HWI-SH, DS-2CD2412F-IW, DS-2CD2012-I, DS-2CD2232-I5, DS-7108HWI-SH, DS-2CD7153-E, DS-2CD2132-I, DS-2DF5284-A.
Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-7204HWI-SH.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
26.03.2015
Abuse of Functionality (WASC-42):
Логін постійний: admin.
Brute Force (WASC-11):
В формі логіна http://site/doc/page/login.asp немає захисту від Brute Force атак. Дані відправляється через GET запит з Basic Authorization.
Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але вони захистилися від CSRF атаки через використання Basic Authorization.
Розробники вже виправили Brute Force уразливість.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Виявлена можливість DoS атаки проти MongoDB.
Уразливі версії: MongoDB 2.6, MongoDB 3.0.
Відмова при розборі BSON.
В даній добірці уразливості в веб додатках:
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах WhyDoWork AdSense, MyBand та Gmedia Gallery. Для котрих з’явилися експлоіти. WhyDoWork AdSense - це плагін для розміщення реклами AdSense, MyBand - це тема движка, Gmedia Gallery - це плагін для створення медіа галереї.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.