Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Appointment Booking Calendar, Ultimate CSV Importer, Simple Add Pages Or Posts, Comment Rating. Для котрих з’явилися експлоіти.

• WordPress Appointment Booking Calendar 1.1.23 Shortcode SQL Injection (деталі)
• WordPress Ultimate CSV Importer 3.8.6 Cross Site Scripting (деталі)
• WordPress Appointment Booking Calendar 1.1.24 Escalation / XSS (деталі)
• WordPress Simple Add Pages Or Posts 1.6 Cross Site Request Forgery (деталі)
• WordPress Comment Rating 1.5.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у жовтні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://gur.gov.ua (хакером Anonymous Arabe) - 03.01.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами. В січні взломали 20 державних сайтів на сервері Укртелекому, всього на цьому сервері хакнули 51 державний сайт, деякі з них по два рази в різні роки.
• http://mlinzem.gov.ua (хакером Nofawkx Al) - 21.01.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://uns.adm-pl.gov.ua (хакером Nofawkx Al) - 24.01.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ostrograyonzem.gov.ua (хакером Nofawkx Al) - 25.01.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 11.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://accordo.com.ua (хакером Geisterfahrer) - 08.02.2017, зараз сайт вже виправлений адмінами
• http://pysk.com.ua (хакером Owner Dzz) - 18.02.2017, зараз сайт вже виправлений адмінами
• http://olegasvideo.com.ua (хакером Suliman Hacker) - 09.04.2017, зараз сайт вже виправлений адмінами
• http://xolodok.com.ua (хакером Suliman Hacker) - 09.04.2017, зараз сайт вже виправлений адмінами
• http://wedding-ukraine.com.ua (хакером Suliman Hacker) - 09.04.2017, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• HP Operations Manager for UNIX, Remote Code Execution (деталі)
• Multiple Vulnerabilities in ISPConfig (деталі)
• drupal7 security update (деталі)
• OS Command Injection in Vesta Control Panel (деталі)
• HP Records Manager, Remote Cross-Site Scripting (XSS) (деталі)

У вересні, 28.09.2017, вийшов Mozilla Firefox 56. Нова версія браузера вийшла через півтора місяці після виходу Firefox 55.

Mozilla офіційно випустила реліз веб-браузера Firefox 56, а також мобільну версію Firefox 56 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 57 намічений на 14 листопада.

Також була оновлена гілка із тривалим терміном підтримки Firefox 52.4.

В браузері були зроблені покращення безпеки, зокрема додана підтримка автоматичного заповнення полів з адресою в веб формах та в опціях у секції “Privacy & Security” додана кнопка для редагування збережених адрес. API Safe Browsing, що використовується для перевірки URL в чорних списках шкідливих ресурсів, оновлений до версії 4. Також покращений захист механізму верифікації завантажених оновлень.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 56.0 усунуто 18 уразливостей, що менше ніж в попередній версії. Серед яких дві позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 56 (деталі)

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 11.

Пошкодження пам’яті, виконання коду, дві підробки адресного рядку, дві XSS, витік кукісів, декілька витоків інформації в режимі Private browsing.

• APPLE-SA-2017-09-19-2 Safari 11 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://zero.kl.com.ua - інфекція була виявлена 05.08.2017. Зараз сайт не входить до переліку підозрілих
• http://road2pro.at.ua - інфекція була виявлена 18.08.2017. Зараз сайт не входить до переліку підозрілих
• http://activation.zzz.com.ua - інфекція була виявлена 25.09.2017. Зараз сайт не входить до переліку підозрілих
• http://transform.zzz.com.ua - інфекція була виявлена 30.09.2017. Зараз сайт не входить до переліку підозрілих
• http://plaza777.co.ua - інфекція була виявлена 05.10.2017. Зараз сайт не входить до переліку підозрілих

У вересні місяці Microsoft випустила нові патчі.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 2008, 2008 R2, 8.1, 2012, 2012 R2, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, .NET Framework, Office Web Apps і SharePoint Server та Exchange Server.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах No External Links, Commentator, Extredj, Appointment Booking Calendar, Easy Gallery. Для котрих з’явилися експлоіти.

• WordPress No External Links 2.6.3 / 2.7.1 Open Redirect (деталі)
• WordPress Commentator 2.5.2 Cross Site Scripting (деталі)
• WordPress Extredj Open Redirection (деталі)
• WordPress Appointment Booking Calendar 1.1.23 SQL Injection (деталі)
• WordPress Easy Gallery 4.1.4 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У вересні 28.09.2017 і 29.09.2017, вийшли PHP 7.0.24 і PHP 7.1.10. У версії 7.0.24 виправлено багато багів і уразливостей, у версії 7.1.10 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.0.x і 7.1.x.

У PHP 7.0.24 і 7.1.10 виправлено:

• Пошкодження пам’яті.
• Численні вибивання в різних функціях (DoS).
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.