Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах FormBuildery, Count Per Day, Store Locator Plus, Selected Text Sharer, Welcome Announcement. Для котрих з’явилися експлоіти.

• WordPress FormBuilder 1.05 Cross Site Scripting (деталі)
• WordPress Count Per Day 3.5.4 Persistent Cross Site Scripting (деталі)
• WordPress Store Locator Plus 4.5.09 Cross Site Scripting (деталі)
• WordPress Selected Text Sharer 1.0 CSRF / XSS (деталі)
• WordPress Welcome Announcement 1.0.5 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• High Orbit Ion Cannon (HOIC, заміна LOIC)
• Linux Spike Trojan malware
• R-U-Dead-Yet
• Squatting attack
• Twinge attack

У вересні, 05.09.2018, вийшов Mozilla Firefox 62. Нова версія браузера вийшла через два місяці після виходу Firefox 61.

Mozilla офіційно випустила реліз веб-браузера Firefox 62, а також мобільну версію Firefox 62 для платформи Android. Відповідно до шеститижневого циклу розробки, Firefox 63 вийде 23 жовтня.

Також були оновлені гілки із тривалим терміном підтримки Firefox 60.2.

В браузері було зроблено багато нововведень. Та зроблені покращення безпеки, зокрема додана підтримка Cookie-атрибуту SameSite, що можна використовувати для захисту від CSRF-атак, включена підтримка TLS 1.3 та заборонене завантаження ресурсів по протоколу FTP зі сторінок відкритих по HTTP/HTTPS.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 62.0 усунуто 8 уразливостей, що значно менше ніж в попередній версії. Серед яких одна добірка уразливостей позначена як критична, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 62 (деталі)

Виявлені уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у жовтні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті, виконання коду та обхід безпеки.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nazikgil.adr.com.ua - інфекція була виявлена 06.03.2018. Зараз сайт не входить до переліку підозрілих
• http://marketlviv.com.ua - інфекція була виявлена 19.03.2018. Зараз сайт не входить до переліку підозрілих
• http://repaired.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://istok-aikido.org.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://sapix.pp.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих
• http://volovetsj.info - інфекція була виявлена 01.06.2018. Зараз сайт входить до переліку підозрілих
• http://oilmotor.com.ua - інфекція була виявлена 07.06.2018. Зараз сайт входить до переліку підозрілих
• http://124.com.ua - інфекція була виявлена 07.06.2018. Зараз сайт входить до переліку підозрілих
• http://krovatki.biz - інфекція була виявлена 07.06.2018. Зараз сайт входить до переліку підозрілих
• http://tt2002.com.ua - інфекція була виявлена 11.06.2018. Зараз сайт входить до переліку підозрілих

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 61, Firefox ESR 60.1, Thunderbird ESR 60.1.

Пошкодження пам’яті, виконання коду, обхід налаштувань проксі, обхід обмежень, підробка адресного рядка в Firefox для Android, вказання майстер-паролю не видаляє попередні незашифровані паролі, що були додані в браузер до версії Firefox 58.

• MFSA 2018-20 Security vulnerabilities fixed in Firefox 62 (деталі)

У серпні, 16.08.2018, вийшли PHP 7.1.21 і PHP 7.2.9. У версії 7.1.21 виправлено багато багів і уразливостей, у версії 7.2.9 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.1.x і 7.2.x.

У PHP 7.1.21 і 7.2.9 виправлено:

• Вибивання.
• Витоки пам’яті.
• Баги в ядрі та модулях.

По матеріалам http://www.php.net.

В даній добірці експлоіти в веб додатках:

• Apple WebKit 10.0.2 - ‘Frame::setDocument’ Universal Cross-Site Scripting (деталі)
• NETGEAR DGN2200v1/v2/v3/v4 - ‘dnslookup.cgi’ Remote Command Execution (деталі)
• D-Link DSL-2730U Wireless N 150 - Cross-Site Request Forgery (деталі)
• SysGauge 1.5.18 - SMTP Validation Buffer Overflow (Metasploit) (деталі)
• MobaXterm Personal Edition 9.4 - Directory Traversal (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Activity Log, Landing Pages, Selected Text Sharer, Events Made Easy, Count Per Day. Для котрих з’явилися експлоіти.

• WordPress Activity Log 2.3.2 Cross Site Scripting (деталі)
• WordPress Landing Pages 2.2.4 Cross Site Scripting (деталі)
• WordPress Selected Text Sharer 1.0 CSRF / XSS (деталі)
• WordPress Events Made Easy Cross Site Scripting (деталі)
• WordPress Count Per Day 3.5.4 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У вересні місяці Microsoft випустила нові патчі.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло багато патчів, але починаючи з квітня 2017 року бюлетені по безпеці не випускаються, тому їх кількість невідома. Компанія вказує лише назви продуктів та номера патчів, а не кількість і деталі бюлетенів (патчів). Вони закривають уразливості в програмних продуктах компанії.

Дані патчі стосуються поточних операційних систем компанії Microsoft - Windows 7, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, SharePoint Server, Lync та .NET Core, ASP.NET Core і ChakraCore.

Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачається з Windows.