Websecurity - Веб безпека

У грудні, 19.12.2024, вийшли PHP 8.2.27, PHP 8.3.15 і PHP 8.4.2. У версії PHP 8.2.27 виправлено багато уразливостей, у версії PHP 8.3.15 виправлено багато багів і уразливостей, у версіях PHP 8.4.2 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.2.x, 8.3.x і 8.4.x.

У PHP 8.2.27, 8.3.15 і 8.4.2 виправлено:

• Витік інформації через OOB read в zend_dirname на Windows.
• Численні пошкодження пам’яті.
• Численні вибивання.
• Витоки інформації в Curl.
• Обхід обмежень в Curl в PHP 8.3.15 і 8.4.2.
• Численні витоки пам’яті в OpenSSL.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023, дані за 07.08.2023-13.08.2023, дані за 14.08.2023-20.08.2023. Це нові дані.

У серпні:

Четвертий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3qHSSik.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/47F4za5.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/47IWBMZ.
Відео розвідка: УКВ знайшли наші прапори на окупованій території та в Росії https://bit.ly/3KSzqX3.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3Ea1r8w.
Українські Кібер Війська захопили 260000 мережевих пристроїв і в День Незалежності України передали окупантам вітання https://bit.ly/45FpR5r.
Українські Кібер Війська заблокували сайти терористів naspravdi.info, dnrsovet.su, та mvddnr.ru https://bit.ly/3ONBe4F.
Злами ворожих сайтів Українськими Кібер Військами на День Незалежності України https://bit.ly/45qc82U.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/44IkLVv.
Дев’ять років я виявляю західні компанії, що підтримують сайти ЦВК терористів, які проводять псевдо-вибори https://bit.ly/3PefpfQ.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://polinfo.gov.ua (хакером Negat1ve) - 30.08.2024 - похаканий державний сайт
• https://smm.stu.cn.ua (хакером Hunter Bajwa) - 08.05.2024
• https://uzbagoysya.com.ua (хакером WindStream) - 11.05.2024
• https://hotel24.zp.ua (хакером Mr.Rm19) - 19.05.2024
• https://inm.zp.ua (хакером Mr.Rm19) - 19.05.2024

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Media Library Assistant, Sonaar Music, Augmented-Reality, Canto і темі Seotheme. Для котрих з’явилися експлоіти.

• Media Library Assistant Wordpress Plugin - RCE and LFI (деталі)
• Wordpress Sonaar Music Plugin 4.7 - Stored XSS (деталі)
• Wordpress Augmented-Reality - Remote Code Execution Unauthenticated (деталі)
• Wordpress Seotheme - Remote Code Execution Unauthenticated (деталі)
• Wordpress Plugin Canto < 3.0.5 - Remote File Inclusion (RFI) and Remote Code Execution (RCE) (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023, дані за 07.08.2023-13.08.2023. Це нові дані.

У серпні:

Третій тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3qBEnMH.
Українські Кібер Війська щодня виявляють російські танки в Донецьку та С-300 в Криму https://bit.ly/3YE1WkK.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3OUVUc9.
Неначе українські хакери зламали сайт МВС Білорусі https://bit.ly/3slFCjC.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3DXVmfv.
Українські Кібер Війська записали відео зі штаб-квартири терористів в Алчевську https://bit.ly/3P3aQVI.
Українські Кібер Війська заблокували сайти терористів naspravdi.info, dnrsovet.su, та mvddnr.ru https://bit.ly/3QJUDG8.
Відео-розвідка: УКВ виявили російських солдатів і поліцейських в Алупці https://bit.ly/3YWY8vf.
Українські Кібер Війська ідентифікували багатьох власників сайтів терористів https://bit.ly/45F4CAZ.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3QMQ79N.

У листопаді, 21.11.2024, вийшли PHP 8.1.31, PHP 8.2.26, PHP 8.3.14 і PHP 8.4.1. У версії PHP 8.1.31 виправлено багато уразливостей, у версії PHP 8.2.26 виправлено багато багів і уразливостей, у версіях PHP 8.3.14 і 8.4.1 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.1.x, 8.2.x, 8.3.x і 8.4.x.

У PHP 8.1.31, 8.2.26, 8.3.14 і 8.4.1 виправлено:

• Heap-Use-After-Free в обробці sapi_read_post_data.
• Два витоки інформації через over-read.
• OOB доступ у ldap_escape.
• Два переповнення, що призводять до запису OOB.
• CRLF ін’єкція в URL в контексті stream.
• Численні вибивання в PHP 8.2.26 і 8.3.14.
• Численні пошкодження пам’яті в PHP 8.2.26 і 8.3.14.
• Багато численні покращення у новій гілці PHP 8.4.x.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

В даній добірці експлоіти в веб додатках:

• GL-iNet MT6000 4.5.5 - Arbitrary File Download (деталі)
• Positron Broadcast Signal Processor TRA7005 v1.20 - Authentication Bypass (деталі)
• MinIO < 2024-01-31T20-20-33Z - Privilege Escalation (деталі)
• Palo Alto PAN-OS < v11.1.2-h3 - Command Injection and Arbitrary File Creation (деталі)
• CrushFTP < 11.1.0 - Directory Traversal (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://lvivlisozahyst.co.ua (хакером Hunter Bajwa) - 02.05.2024 - похаканий державний сайт
• https://ecd.knmu.edu.ua (хакером KingSkrupellos) - 01.05.2024
• https://visnyk.idgu.edu.ua (хакером KingSkrupellos) - 01.05.2024
• https://abryl.com.ua (хакером Scorpiol) - 04.05.2024
• https://entomology.kharkiv.ua (хакером Xaveroz Tersakiti) - 09.05.2024

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023. Це нові дані.

У серпні:

Другий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3DNAqaK.
Сьогодні день Військ зв’язку та кібербезпеки Збройних Сил України, а десятки років за безпекою не слідкують https://bit.ly/3YreKLa.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3YqE9EE.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/47BYNWO.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/3YqKyQt.
Відео-розвідка: УКВ виявили російських солдатів і поліцейських в Алупці https://bit.ly/3YtKDTs.
Українські Кібер Війська закрили сайт терористів donmintrans.info https://bit.ly/3DU5Mg5.
Українські Кібер Війська заблокували сайти терористів naspravdi.info, dnrsovet.su, та mvddnr.ru https://bit.ly/3OT1b47.
Це документ російських терористів https://bit.ly/3s4xBPX.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/47wj1RO.

Раніше, 24.03.2013, я знайшов Information Leakage, Insufficient Authentication та Full path disclosure уразливості на сайті idea.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Information Leakage (WASC-13):

http://217.117.65.248/s3/monitoring/report/list
http://217.117.65.248/s3/monitoring/report/list.html

Витік інформації про звіти банку, що призначені не для всіх.

Insufficient Authentication (WASC-01):

Доступ до цього розділу на https://idea.privatbank.ua заборонений, але доступний на http://217.117.65.248 - якщо зайти на сайт по IP.

А також це стосується інших ресурсів, які на idea.privatbank.ua вимагають аутентифікації.

Full path disclosure (WASC-13):

http://217.117.65.248/s3/monitoring/report/list
http://217.117.65.248/s3/monitoring/report/list.html

Тут є витік повного шляху на сервері (чотирьох скриптів) та адреси в LAN, а також наявні ще інші дірки, про які напишу окремо.

ПриватБанк тоді проігнорував їх та не оплатив. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на idea.privatbank.ua та інших сайтах ПБ.