Websecurity - Веб безпека

У квітні, 26.04.2016, вийшов Mozilla Firefox 46. Нова версія браузера вийшла через півтора місяці після виходу Firefox 45.

Mozilla офіційно випустила реліз веб-браузера Firefox 46, а також мобільну версію Firefox 46 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 47 намічений на 7 червня, а Firefox 48 на 2 серпня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 38.8, Firefox 45.1 і Thunderbird 38.8.

В браузері було зроблено декілька покращень безпеки, зокрема посилена безпека JIT-компілятора JavaScript (виконання коду організоване з використанням застосовуваного в OpenBSD алгоритму W^X) та додана підтримка формування ключів з використанням HKDF в Web Crypto API. А також зроблений перехід GTK3+ в збірках для платформи Linux.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 46.0 усунуто 10 уразливостей, серед яких одна позначена як критична, що може привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 46, перешедший на GTK3+ в Linux (деталі)

В даній добірці уразливості в веб додатках:

• OpenStack Glance vulnerability (деталі)
• TWiki Security Advisory - XSS Vulnerability (деталі)
• Apache Struts 2.3.20 GA release available with security fix (деталі)
• SysAid Server Arbitrary File Disclosure (деталі)
• OpenStack Neutron vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах MiwoFTP, Ajax Store Locator, WP-Mon, Citizen Space, Content Slide. Для котрих з’явилися експлоіти.

• WordPress MiwoFTP 1.0.5 CSRF Command Execution (деталі)
• WordPress Ajax Store Locator 1.2 SQL Injection (деталі)
• WordPress WP-Mon Arbitrary File Download (деталі)
• WordPress Citizen Space 1.1 Cross Site Scripting (деталі)
• WordPress Content Slide 1.4.2 CSRF / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У квітні, 26.04.2016, вийшло інтерв’ю, що я дав для UaPost.

В інтерв’ю розповідається про мене, про мою діяльність та кібер війну Росії проти України. Про громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014, та безпеку веб сайтів в Інтернеті.

Євгеній Докукін: The Daily Beast назвали мене “lonely Ukrainian cyber warrior”

Так що кому буде цікаво прочитати інформацію про кібер війну, про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю, зокрема інтерв’ю для Уніан, чи дивився виступи на ТБ, зокрема телепередачу зі мною на каналі Обоз LIVE, так і всім іншим, можете прочитати це інтерв’ю.

Раніше я писав про березневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у квітні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

www.zaksoc.gov.ua (хакером Nofawkx Al) - 23.04.2016
kamdnrda.gov.ua (хакером Nofawkx Al) - 23.04.2016
turivne.gov.ua (хакером Nofawkx Al) - 23.04.2016
Та багато інших gov.ua сайтів.

Російські хакери провели політичні взломи державних сайтів:

loda.gov.ua (хакерами з СПРУТ) - 23.04.2016

Проукраїнськими хакерами були атаковані наступні сайти:

Нагадав про торішній взлом сайтів x-true.info та e-news.su (Українські Кібер Війська)
Квітневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі квітня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт helpnovorossia.ru (через скаргу хостеру) - 04.2016
Закритий сайт patria.su (через скаргу хостеру) - 04.2016

В даній добірці експлоіти в веб додатках:

• OpenMRS Reporting Module 0.9.7 - Remote Code Execution (деталі)
• D-Link DCS-931L File Upload (деталі)
• WhatsUp Gold 16.3 - Unauthenticated Remote Code Execution (деталі)
• Siemens Simatic S7 1200 CPU Command Module (Metasploit) (деталі)
• Jenkins CLI RMI Java Deserialization Vulnerability (деталі)

У січні, 29.01.2015, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DIR-300. Це Wireless Router і AP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DIR-300 та D-Link DVG-5402SP.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 38.7, Firefox 45, Thunderbird 38.7, SeaMonkey 2.39.

Пошкодження пам’яті, переповнення буфера, підвищення привілеїв, витік інформації, обхід обмежень.

• MFSA 2016-39 Miscellaneous memory safety hazards (rv:46.0 / rv:45.1 / rv:38.8) (деталі)
• MFSA 2016-40 Privilege escalation through file deletion by Maintenance Service updater (деталі)
• MFSA 2016-41 Content provider permission bypass allows malicious application to access data (деталі)
• MFSA 2016-42 Use-after-free and buffer overflow in Service Workers (деталі)
• MFSA 2016-43 Disclosure of user actions through JavaScript with motion and orientation sensors (деталі)
• MFSA 2016-44 Buffer overflow in libstagefright with CENC offsets (деталі)
• MFSA 2016-45 CSP not applied to pages sent with multipart/x-mixed-replace (деталі)
• MFSA 2016-46 Elevation of privilege with chrome.tabs.update API in web extensions (деталі)
• MFSA 2016-47 Write to invalid HashMap entry through JavaScript.watch() (деталі)
• MFSA 2016-48 Firefox Health Reports could accept events from untrusted domains (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mak.te.ua - інфекція була виявлена 26.04.2016. Зараз сайт входить до переліку підозрілих.
• http://opz.org.ua - інфекція була виявлена 26.04.2016. Зараз сайт не входить до переліку підозрілих.
• http://uaslotcar.com - інфекція була виявлена 26.04.2016. Зараз сайт входить до переліку підозрілих.
• http://tntu.edu.ua - інфекція була виявлена 26.04.2016. Зараз сайт не входить до переліку підозрілих.
• http://ukrblank.com - інфекція була виявлена 26.04.2016. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• OpenStack Quantum vulnerability (деталі)
• Jease CMS v2.11 - Persistent Cross-Site Scripting Vulnerability (деталі)
• E-Journal CMS (ID) - Multiple Web Vulnerabilities (деталі)
• TWiki Security Advisory - XSS Vulnerability (деталі)
• OpenStack Cinder vulnerability (деталі)