Websecurity - Веб безпека

У жовтні, 24.10.2024, вийшли PHP 8.2.25 і PHP 8.3.13. У версії PHP 8.2.25 виправлено багато багів і уразливостей, у версії PHP 8.3.13 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.2.x і 8.3.x.

У PHP 8.2.25 і 8.3.13 виправлено:

• Численні вибивання.
• Декілька витоків пам’яті.
• Численні пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Мене іноді запитують стосовно відсутності SSL/TLS сертифікату на сайті. До безпеки моїх читачів SSL сертифікат прямого відношення не має. Саме тому не встановив його з 2006 року.

Хакають сайти через дірки, а не через наявність чи відсутність сертифікату. Який лише шифрує дані між браузером та сайтом. І як ви можете бачити по спискам зламаних сайтів за останні 30 років на західних архівах дефейсів чи в моїх публікаціях за всі ці роки - раніше хакали переважно http, бо мало хто ставив сертифікати на сайти, в останні роки майже всі хакнуті з https (як раз активно почали встановлювати з 2014 року). Тобто ніякої безпеки ресурсам це не додало, як би реклама не нав’язувала сертифікати.

Але тотальна пропаганда https впливає на людей, бо всі постійно чують про SSL сертифікати і знають “популярні правила”, що треба лише на https ходити. І для деяких сайтів це правильно, зокрема банки та всі сайти, де є фінансові дані чи будь-які облікові дані. Проте варто розуміти де насправді це потрібно.

Впливає також на власників сайтів і вони купують сертифікати. Продавці заробляють на цьому. Для деяких сайтів це важливо, але для просто інформаційних ні. Вони як не були потрібні в 1991 році, коли з’явився перший сайт і не було ще SSL, так і зараз не потрібні для багатьох сайтів, як от мій.

Також чимало стикався з випадками ще з 2005, коли люди відмовлялися виправляти дірки на своїх сайтах, про які їм повідомляв. Бо в них SSL сертифікат на сайті, тому вважають “все безпечним” і по факту забивають на безпеку. Ні секюріті аудитів не проводять, ні дірки не виправляють.

Сам звернув увагу, що багато власників сайтів почали купувати сертифікати в 2014 і поголовно в 2015, кожен сайт терористів ДНР, ЛНР та інші вороги перейшли на SSL. За рік тоді всі перейшли.

А продавці сертифікатів за 2014-25 роки багато грошей заробили на росіянах та досі підтримують агресію проти України, про це я щодня нагадую багато років. Перелік компаній, що роками видають SSL сертифікати сайтам російських терористів. Серед них компанії з Англії, США, Бельгії та інших країн https://bit.ly/3ccqDRi. Тому не варто їх фінансово підтримувати, слід боротися з цими компаніями.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://archbor.gov.ua (хакером 0×1998) - 27.07.2024 - похаканий державний сайт
• https://lingvostud.vnu.edu.ua (хакером KingSkrupellos) - 20.04.2024
• https://volyntext.vnu.edu.ua (хакером KingSkrupellos) - 20.04.2024
• https://e-forum.lntu.edu.ua (хакером KingSkrupellos) - 01.05.2024
• https://bestrestoran.com.ua (хакером Rayzky) - 22.11.2024

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023. Це нові дані.

У серпні:

Перший тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3rOiXwe.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/3DFaQVk.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3qfvV5M.
Це документ російських терористів https://bit.ly/3OkPCRN.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/3OnkAbI.
Українські Кібер Війська виявили російських солдатів і поліцейських в Криму https://bit.ly/47i3cxO.
Відео-розвідка: УКВ записали колону військової техніки в Керчі https://bit.ly/3QkwSEy.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3YpyH5d.
Українські Кібер Війська виявили супутниковий знімок підбитого російського десантного корабля в Новоросійську https://bit.ly/3OKfo3k.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/47eXWLv.
База російських терористів у Луганську, яку я виявив ще в 2015 році https://bit.ly/3Os8UVr.

В даній добірці експлоіти в веб додатках:

• TELSAT marKoni FM Transmitter 1.9.5 - Insecure Access Control Change Password (деталі)
• HNAS SMU 14.8.7825 - Information Disclosure (деталі)
• LBT-T300-mini1 - Remote Buffer Overflow (деталі)
• Asterisk AMI - Partial File Content & Path Disclosure (Authenticated) (деталі)
• Siklu MultiHaul TG series < 2.0.0 - unauthenticated credential disclosure (деталі)

У вересні, 26.09.2024, вийшли PHP 8.1.30, PHP 8.2.24 і PHP 8.3.12. У версії PHP 8.1.30 виправлено чотири уразливості, у версії PHP 8.2.24 виправлено багато багів і уразливостей, у версії PHP 8.3.12 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.1.x, 8.2.x і 8.3.x.

У PHP 8.1.30, 8.2.24 і 8.3.12 виправлено:

• Обхід cgi.force_redirect налаштувань.
• Parameter Injection уразливість.
• Перезапис логів з дочірніх процесів.
• Помилки при обробці даних з multipart form.
• Численні вибивання в PHP 8.2.24 і 8.3.12.
• Пошкодження пам’яті в PHP 8.2.24 і 8.3.12.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023 та за 17.07.2023-23.07.2023. Це нові дані.

В липні:

Четвертий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3q60s5V.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/3qcw3mm.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/44DgLpV.
Це документ російських терористів https://bit.ly/3rSMiFC.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/474GF7C.
Українські Кібер Війська ще з минулого року виявляють допомогу російській армії з Китаю https://bit.ly/3O9sntG.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3KjVglI.
Відео-розвідка: російські окупанти отримали бронежилет й інше поштою в Шебекіно https://bit.ly/3Qi8IdM.
Українські Кібер Війська виявили російських солдатів і поліцейських в Криму https://bit.ly/43ON042.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/44JitpG.
Ще з 2014 року я виявляю дані про викрадення наших дітей https://bit.ly/3rKBMQN.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах adivaha Travel, Forminator, Elementor, Masterstudy LMS. Для котрих з’явилися експлоіти.

• WordPress adivaha Travel Plugin 2.3 - SQL Injection (деталі)
• WordPress adivaha Travel Plugin 2.3 - Reflected XSS (деталі)
• WordPress Plugin Forminator 1.24.6 - Unauthenticated Remote Command Execution (деталі)
• Wordpress Plugin Elementor 3.5.5 - Iframe Injection (деталі)
• Wordpress Plugin Masterstudy LMS 3.0.17 - Unauthenticated Instructor Account Creation (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці експлоіти в веб додатках:

• Viessmann Vitogate 300 2.1.3.0 - Remote Code Execution (RCE) (деталі)
• Ruijie Switch PSG-5124 26293 - Remote Code Execution (RCE) (деталі)
• TELSAT marKoni FM Transmitter 1.9.5 - Root Command Injection (деталі)
• TELSAT marKoni FM Transmitter 1.9.5 - Backdoor Account Information Disclosure (деталі)
• minaliC 2.0.0 - Denied of Service (деталі)

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023 та за 10.07.2023-16.07.2023. Це нові дані.

В липні:

Третій тиждень.

Супутниковий знімок наслідків вибуху Кримського мосту https://bit.ly/44L0jUc.
Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3Q25OtC.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/43BXeEW.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/43yk8Nl.
Відео-розвідка: Українські Кібер Війська виявили копа зрадника в Криму https://bit.ly/3Q3TGYS.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/3rBB7Bp.
Українські Кібер Війська виявили, як російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/3rC8GmS.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3q3uA1G.
Про ракети Онікс і береговий ракетний комплекс Бастіон. Українські Кібер Війська виявили комплекс в Криму ще в 2016 https://bit.ly/44DlrvN.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/3pZ3yZo.