Websecurity - Веб безпека

У вересні місяці Microsoft випустила 12 патчів. Що менше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. П’ять патчі закривають критичні уразливості та сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Microsoft Lync Server і Skype for Business Server, .NET Framework, Windows Hyper-V і Exchange Server.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• Slowdroid
• UDP Unicorn
• Zip bomb
• ZMW attack
• Zombie (computer science)

30.05.2015

У травні, 03.05.2014, я знайшов Brute Force уразливість на http://feratti.com.ua. Це онлайн магазин. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів та електронних платіжних систем в останнє я писав про уразливості на www.payu.ua та www.ipay.ua.

Детальна інформація про уразливості з’явиться пізніше.

02.10.2015

Brute Force (WASC-11):

http://feratti.com.ua/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1&order_pass=p_11111

Слабкий пароль - всього 1048576 комбінацій. При наявності номеру замовлення, який можна дістати, можна підібрати пароль. Це приведе до витоку інформації про замовлення (товар, ціна, ім’я, адреса і телефон замовника).

Уразливість досі не виправлена. Вона має місце в компоненті VirtueMart для Joomla.

У вересні, 01.09.2015, через півтора місяці після виходу Google Chrome 44, вийшов Google Chrome 45.

В браузері зроблено багато нововведень. Та виправлені численні уразливості. Серед покращень безпеки:

• Сайти тепер можуть включати зовнішні ресурси з перевіркою їхньої цілісності по хешу.
• Для захисту від деяких видів атак джерело ’self’ у CSP (Content Security Policy) тепер виключає бінарні об’єкти і лінки на файлову систему.
• При обміні ключами Diffie-Hellman тепер не допускається використання ключів довжиною менше 1024 біт.
• Цілком припинена підтримка NPAPI-плагинів. З розширених налаштувань вилучена опція, що надає запасний шлях для включення NPAPI.

Виправлено 29 уразливостей, з яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer і MemorySanitizer. Що менше ніж в попередній версії.

• Релиз web-браузера Chrome 45 (деталі)

Виявлені уразливості безпеки в Microsoft .NET Framework. Що дозволяють атакувати XBAP і .NET додатки, а також проводити DoS атаки на ASP.NET веб сайти.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5 SP1, 3.5.1, 4, 4.5, 4.5.1, 4.5.2, 4.6.

Підвищення привілеїв, відмова в обслуговуванні.

• Microsoft Security Bulletin MS15-101 - Important Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (3089662) (деталі)

В даній добірці експлоіти в веб додатках:

• Edimax BR6228nS/BR6228nC - Multiple Vulnerabilities (деталі)
• GPON Home Router FTP G-93RG1 - CSRF Command Execution Vulnerability (деталі)
• Thomson Wireless VoIP Cable Modem TWG850-4B ST9C.05.08 - Authentication Bypass (деталі)
• Easy File Sharing Web Server 6.9 - USERID Remote Buffer Overflow (деталі)
• FHFS - FTP/HTTP File Server 2.1.2 Remote Command Execution (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.man.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 07.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sumy.ukrstat.gov.ua (хакером Nofawkx Al) - 27.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://aiki-do.org.ua (хакером BrazilObscure) - 19.05.2015, зараз сайт вже виправлений адмінами
• http://chola.com.ua (хакером BrazilObscure) - 19.05.2015, зараз сайт вже не працює
• http://www.economiclaw.dn.ua (хакером Red hell sofyan) - 05.09.2015, зараз сайт вже виправлений адмінами

Виявлені Cross-Site Scripting уразливості в Microsoft Lync Server і Skype for Business.

Уразливі продукти: Microsoft Lync Server 2013, Skype for Business Server 2015.

Різні можливості міжсайтового скриптінга.

• Microsoft Security Bulletin MS15-104 - Important Vulnerabilities in Skype for Business Server and Lync Server Could Allow Elevation of Privilege (3089952) (деталі)

У вересні, 15.09.2015, вийшла нова версія WordPress 4.3.1.

WordPress 4.3.1 це багфікс та секюріті випуск нової 4.3 серії. В якому розробники виправили 26 багів та 3 уразливості. Це дві Cross-Site Scripting і одна Privilege Escalation уразливості. XSS дірки в шорткод тегах і в списку користувачів, а PE дірка дозволяла користувачам без достатніх прав публікувати приватні пости і закріплювати їх.

Також в цей день вийшли WordPress 4.0.8, 4.1.8 і 4.2.5. Версії 4.0.8, 4.1.8 і 4.2.5 це секюріті випуски 4.0, 4.1 і 4.2 серії, в яких виправлені дані уразливості й баги.

В даній добірці уразливості в веб додатках:

• HP Security Management System, Remote Execution of Arbitrary Code (деталі)
• Multiple SSRF vulnerabilities in Alfresco Community Edition (деталі)
• IP.Board 3.4 cross-site scripting in Referer header (деталі)
• Remote command execution in Logstash zabbix and nagios_nsca outputs (деталі)
• RSA BSAFE Micro Edition Suite Server Crash Vulnerability (деталі)