Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Clickjacking attacks in SquirrelMail (деталі)
• HP SiteScope, Remote Cross Site Scripting (XSS) and Session Fixation Attack (деталі)
• Vulnerabilities in Samba Web Administration Tool (SWAT) (деталі)
• phpmyadmin security update (деталі)
• SQL injection vulnerability in HP Network Automation (деталі)
• Sitecore CMS 6.4 Open URL Redirect Vulnerability (деталі)
• Agent Image (news_details.php?news_ID) Remote SQL injection Vulnerability (деталі)
• Cross-site scripting (XSS) vulnerability in HP Network Automation (деталі)
• G2webCMS (products.php?cat_id) (member-profile.php?profile) Remote SQL injection Vulnerability (деталі)
• iCube Lab (product_details.php?cat_id) Remote SQL injection Vulnerability (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.6, Firefox 8.0, Thunderbird 3.1, Thunderbird 8.0, SeaMonkey 2.5.

Пошкодження пам’яті, обхід захисту, цілочислені переповнення, DoS-умови.

• Mozilla Foundation Security Advisory 2011-53 (деталі)
• Mozilla Foundation Security Advisory 2011-54 (деталі)
• Mozilla Foundation Security Advisory 2011-55 (деталі)
• Mozilla Foundation Security Advisory 2011-56 (деталі)
• Mozilla Foundation Security Advisory 2011-57 (деталі)
• Mozilla Foundation Security Advisory 2011-58 (деталі)
• Mozilla Foundation Security Advisory 2011-59 (деталі)

На початку року, 03.01.2012, лише через пів місяця після виходу WordPress 3.3, вишла нова версія WordPress 3.3.1.

WordPress 3.3.1 це секюріті та багфікс випуск нової 3.3 серії. В якому розробники виправили 15 багів та одну уразливість.

В версії 3.3 була виявлена Cross-Site Scripting уразливість (що стосується лише WP 3.3), яка була виправлена в даній версії.

Виявлена можливість підвищення привілеїв в Apache.

Уразливі версії: Apache 2.0, Apache 2.2.

Підвищення привілеїв через SetEnvif у сполученні з заголовками HTTP-запиту.

• Integer overflow in Apache HTTP Server (деталі)

06.12.2011

Нещодавно, 25.11.2011, коли я виявив нові уразливості в Register Plus Redux, я також знайшов нові уразливості в плагіні Register Plus для WordPress. Це Cross-Site Scripting, Code Execution та Full path disclosure уразливості. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Register Plus для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

26.01.2012

XSS:

Використовуючи функцію Autocomplete URL можна провести атаку через GET:

Уразливі всі ті параметри, що і при POST запиті. Про які я розповідав раніше.

XSS (persistent):

Вказавши XSS код в якості імені файла (наприклад, можна створити такий файл на Linux та Unix системах) та завантаживши його, код викнається на сторінках http://site/wp-admin/options-general.php?page=register-plus та http://site/wp-login.php?action=register.

Code Execution:

Маючи доступ до налаштувань плагіна, можна провести Code Execution (в полі Custom Logo) через аплоадінг файла з довільний розширенням (наприклад, PHP). Для атаки можна просто завантажити 1.php (на відміну від Register Plus Redux, де це неможливо і потрібно використовувати обхідні техніки). Це пов’язано з тим, що використовується власний аплоадер, а не вбудований в WordPress.

Full path disclosure:

При включеній опції плагіна “Enable Invitation Tracking Dashboard Widget” на сторінці http://site/wp-admin/index.php виводиться повний шлях на сервері.

Уразливі Register Plus 3.5.1 та попередні версії. Враховуючи, що даний плагін більше не підтримується розробником, то його користувачам потрібно виправити дірки власноруч. Або оновити цей плагін до версії Register Plus Redux з виправленими уразливостями.

Продовжуючи розпочату традицію, після попереднього відео про знаходження панелі адміністратора, пропоную нове відео на веб секюріті тематику. Цього разу відео про BEAST проти HTTPS. Рекомендую подивитися всім хто цікавиться цією темою.

BEAST vs HTTPS

В даному відео ролику розповідається про використання BEAST-атаки. BEAST (Browser Exploit Against SSL/TLS) - це інструментарій для атаки на SSL/TLS, що дозволяє організувати перехоплення переданого в рамках зашифрованого з’єднання Cookie з параметрами аутентифікації користувацької сесії.

У відео показане використання BEAST для отримання кукіса від аккаунта PayPal. Даний інструментарій дешифрує переданий в рамках https-з’єдння сесійний кукіс. Рекомендую подивитися дане відео для розуміння векторів атак через уразливість в SSL/TLS.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://if.gov.ua - інфікований державний сайт - інфекція була виявлена 13.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://best-tv.com.ua - інфекція була виявлена 17.01.2012. Зараз сайт входить до переліку підозрілих.
• http://footclub.pp.ua - інфекція була виявлена 04.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://bestcats.kiev.ua - інфекція була виявлена 21.01.2012. Зараз сайт входить до переліку підозрілих.
• http://doctorpharm.com.ua - інфекція була виявлена 28.11.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт bestcats.kiev.ua також хостить в себе Укртелеком.

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі версії: PHP 5.3.

Звертання по нульовому вказівнику через неперевірене значення zend_strndup.

• PHP 5.3.8 Multiple vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• Security Notice for CA SiteMinder (деталі)
• Chezola Systems (display-section.php?id) Remote SQL injection Vulnerability (деталі)
• EasyContent CMS (participant.php?id) Remote SQL injection Vulnerability (деталі)
• NetSaro Enterprise Messenger Server Plaintext Password Storage Vulnerability (деталі)
• Multiple cross-site request forgery (CSRF) vulnerabilities in SquirrelMail (деталі)
• CRLF injection vulnerability in SquirrelMail (деталі)
• NetSaro Enterprise Messenger Server Administration Console Weak Cryptographic Password Storage Vulnerability (деталі)
• Cross-site scripting (XSS) vulnerability in Adobe RoboHelp and RoboHelp Server (деталі)
• Cross-site scripting (XSS) vulnerability in SquirrelMail (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in SquirrelMail (деталі)

За повідомленням www.xakep.ru, новий закон Євросоюзу змусить повідомляти про взлом протягом 24 годин.

Можливо, новин про взломи і витоки інформації в майбутньому стане набагато більше. Європейський Союз готує новий законопроект про захист приватних даних, відповідно до якого кожна компанія буде зобов’язана протягом 24 годин після взлому повідомити інформацію про витік даних постраждалим громадянам і компетентним органам Євросоюзу. У випадку приховання інформації компанія буде піддана адміністративному покаранню і штрафам, після розгляду справи у відповідному комітеті ЄС.

Цікава ідея ЄС, такий собі full disclosure, щоб стимулювати компанії не приховувати випадки взломів . Бажано, щоб вони зробили новий закон всеохоплючим, для того щоб він охоплював як взломи локальних мереж, так і веб сайтів, що належать як юридичним особам, так і фізичним особам. І після того як вони його приймуть, з часом ця практика дійде до України.

За повідомленням www.xakep.ru, статистика по фроду в 2011 році: кардери зняли $3,4 млрд. у магазинах США.

Процесінгова компанія CyberSource (підрозділ корпорації Visa) опублікувала звіт 2012 Online Fraud Report зі статистикою по кардерским операціях в Інтернеті. На перший погляд, кардерство йде на спад: частка фродових транзакцій в Інтернеті впала з 0,9% у 2010 році до 0,6% у 2011 році, тобто до мінімального рівня за останні 13 років, протягом яких проводилися виміри.

Однак, фродові транзакції по розміру виявилися більше звичайних, і тому частка шахрайства в загальному обороті інтернет-торгівлі в порівнянні з минулим роком виросла до 1,0%, хоча в цілому вона поступово знижується вже багато років.

За повідомленням www.xakep.ru, DreamHost взломаний, всіх просять поміняти паролі.

Черговою жертвою хакерів став великий американський хостінг-провайдер DreamHost. У корпоративному блозі опубліковане повідомлення про виявлення несанкціонованого доступу до бази даних хешей паролів FTP/Shell. При цьому компанія підкреслює, що в неї немає прямих доказів крадіжки користувацьких паролів, але компанія все-таки зробила примусове скидання паролів для всіх аккаунтів FTP/Shell.

Процедура скидання паролів почалася в суботу, 20 січня. На хостінгу DreamHost розміщується близько 1,22 млн. доменів.