Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 31.7, Firefox 38, Thunderbird 38, SeaMonkey 2.35.

Численні криптографічні проблеми в NSS, пошкодження пам’яті, обхід обмежень, розкриття інформації, підвищення привілеїв.

• MFSA 2015-59 Miscellaneous memory safety hazards (rv:39.0 / rv:31.8 / rv:38.1) (деталі)
• MFSA 2015-60 Local files or privileged URLs in pages can be opened into new tabs (деталі)
• MFSA 2015-61 Type confusion in Indexed Database Manager (деталі)
• MFSA 2015-62 Out-of-bound read while computing an oscillator rendering range in Web Audio (деталі)
• MFSA 2015-63 Use-after-free in Content Policy due to microtask execution error (деталі)
• MFSA 2015-64 ECDSA signature validation fails to handle some signatures correctly (деталі)
• MFSA 2015-65 Use-after-free in workers while using XMLHttpRequest (деталі)
• MFSA 2015-66 Vulnerabilities found through code inspection (деталі)
• MFSA 2015-67 Key pinning is ignored when overridable errors are encountered (деталі)
• MFSA 2015-68 OS X crash reports may contain entered key press information (деталі)
• MFSA 2015-69 Privilege escalation through internal workers (деталі)
• MFSA 2015-70 NSS accepts export-length DHE keys with regular DHE cipher suites (деталі)
• MFSA 2015-71 NSS incorrectly permits skipping of ServerKeyExchange (деталі)

В даній добірці експлоіти в веб додатках:

• D-Link DSP-W w110 v1.05b01 - Multiple Vulnerabilities (деталі)
• Dlink DSL-2750u and DSL-2730u - Authenticated Local File Disclosure (деталі)
• AirLive Multiple Products OS Command Injection (деталі)
• Adobe Flash Player ByteArray Use After Free (деталі)
• Western Digital Arkeia Remote Code Execution (деталі)

27.11.2014

У серпні, 01.08.2014, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DCS-2103 (веб камера). Це третя частина дірок в DCS-2103.

Раніше я писав про BF та XSS уразливості в D-Link DCS-2103.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

23.07.2015

Cross-Site Request Forgery (WASC-09):

CSRF уразливості у всіх розділах адмінки. Наприклад, зміна DEVICE SETTING (параметри IP camera Name, Enable OSD, Label, Show time).

http://site/vb.htm?cameratitle=Test&tstampenable=1&tstamplabel=Test&tstampformat=1

Cross-Site Scripting (WASC-08):

http://site/vb.htm?tstamplabel=</script><script>alert(document.cookie)</script>

Це persistent XSS. Код виконається на сторінках: maintenance.htm, maintenance_device.htm, maintenance_backup_restore.htm, maintenance_firmware_upgrade.htm.

Уразлива версія D-Link DCS-2103, Firmware 1.20. Дана модель з іншими прошивками також повинна бути вразливою.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://udf.gov.ua (хакером RxR) - 14.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://cvoas.gov.ua (хакером AKINCILAR) - 18.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.medoks-clinic.com (хакером the_warri0r) - 18.04.2015, зараз сайт вже виправлений адмінами
• http://kataliz.org.ua (хакером Red hell sofyan)
• http://assl.com.ua (хакером ZoRRoKiN) - 05.04.2015, зараз сайт вже виправлений адмінами

Виявлений обхід обмежень в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Можлива некоректна верифікація сертифіката без прапора CA використаного для підпису інших сертифікатів.

• OpenSSL Security Advisory [9 Jul 2015] Alternative chains certificate forgery (CVE-2015-1793) (деталі)

В даній добірці уразливості в веб додатках:

• Barracuda Networks Firewall - Persistent Access Policy Vulnerability (деталі)
• Cross-Site Request Forgery (CSRF) in Kanboard (деталі)
• Reflected Cross-Site Scripting (XSS) in e107 (деталі)
• SQL Injection in Е2 (деталі)
• Barracuda Networks Firewall - Filter Bypass & Persistent Web Vulnerabilities (деталі)

В своїх статтях за 2012-2015 роки я писав про фізичний вимір безпеки державних сайтів. Що деякі gov.ua сайти розміщені на закордонних хостингах, зокрема в Росії. Про те, що цього не повинно бути і про зміни за рік з хостингом таких сайтів, після того як торік я звернув на це увагу СБУ.

Також в останній статті я згадав стосовно електронної пошти. Що багато наших державних служб користується безкоштовною російською поштою. На це я та інші не раз звертали увагу державних служб.

На даний момент на державних сайтах України використовується значна кількість емайлів на російських поштових сервісах. Ось я взяв п’ять популярних поштових доменів двох російських компаній (а ще є багато інших).

Запит в Google - Приблизна кількість результатів:
site:gov.ua “mail.ru” - 142 000
site:gov.ua “mail.ua” - 2 030
site:gov.ua “list.ru” - 3 750
site:gov.ua “yandex.ru” - 14 600
site:gov.ua “yandex.ua” - 7 030

Тобто до 169410 емайлів лише на п’яти поштових доменах російських компаній (це приблизна кількість і можуть бути повтори емайлів). Загальна кількість ще більша, бо є ще інші домени.

Тому, як я казав раніше, всіх чиновників, що починаючи з 01.03.2014 розміщували сайти в РФ чи користувалися електронною поштою російських сервісів, потрібно притягати до відповідальності.

У липні, 21.07.2015, через два місяці після виходу Google Chrome 43, вийшов Google Chrome 44.

В браузері зроблено багато нововведень. Та виправлені численні уразливості.

Виправлено 44 уразливості, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що більше ніж в попередній версії.

• Релиз web-браузера Chrome 44 и операционной системы Chrome OS 44 (деталі)

Виявлені уразливості безпеки в Apache.

Уразливі версії: Apache 2.4.

DoS, обхід захисту, HTTP Request Smuggling.

• Vulnerabilities in Apache httpd (деталі)

В даній добірці експлоіти в веб додатках:

• CollabNet Subversion Edge Management 4.0.11 - Local File Inclusion (деталі)
• C2Box 4.0.0 (r19171) - CSRF Vulnerability (деталі)
• Polycom RealPresence Resource Manager < 8.4 - Multiple Vulnerabilities (деталі)
• FTP Media Server 3.0 - Authentication Bypass and Denial of Service (деталі)
• Adobe Flash Player Nellymoser Audio Decoding Buffer Overflow (деталі)