El equipo de Drupal acaba de anunciar la disponibilidad de la versión 7.8 del CMS que trae consigo una importante corrección de errores (en este caso no se trata de una actualización de seguridad). Para más información os remitimos a la lista de cambios.

Descarga directa de Drupal 7.8 (tar.gz)..

Bajo una supuesta persecución del terrorismo, el gobierno de Pakistán ha ordenado a los proveedores de Internet de ese país, que informen a las autoridades de ese país asiático quienes son los usuarios que utilizan algún método de cifrado o anonimato cuando navegan por la red, lo cual les permite acceder a sitios bloqueados por el gobierno, como es el caso de Facebook, el cual fue prohibido por “contener material contrario a la fe islámica”. Otra “fuente de mal” que los pakistaníes tampoco puede ni oler es el conocido Youtube, censurado también desde hace tiempo, o la página web de la revista Rolling Stone, después de que publicara que gran parte del presupuesto del país se destina a gastos militares.

Actualmente todo la información de Internet es filtrada y bloqueada en Pakistán “al gusto” de sus gobernantes y unicamente mediante estos métodos, un ciudadano puede burlar esa seguridad y visitar sitios web de forma que escapen al control gubernamental. Por suerte, entidades como “callcenters” o bancos estarán excluidos de esta medida, pero sucesos como este, aunque sean lejanos para nosotros, evidencian que la lucha por la libertad de expresión en la red aun no está ganada y que queda un largo camino.

Como habéis podido leer hoy en Daboweb, hace unas horas os informábamos acerca de los parches que ha aplicado Debian con una nueva versión de Apache que solventaba la vulnerabilidad y los ataque DoS CVE-2011-3192 (además de uno específico en mod_dav) tanto en la rama “oldstable” (Lenny) como en la “stable” (squeeze).

Os informamos que ya está disponible una nueva versión de Apache (2.2.20) que solventa dicho bug por lo que es más que recomendable su actualización a la mayor brevedad posible, además de revertir los posibles cambios (por ejemplo la activación de mod_deflate) relalizados para mitigar el impacto del bug cuando aún no había parches oficiales.

Información sobre cambios y correcciones | Descarga de la nueva versión | Fuente Sans.

Se ha encontrado un fallo de seguridad importante en un certificado digital emitido por la entidad Holandesa DigiNotar para Google. Dicho certificado se ha visto comprometido y con él, los usuarios de productos de Google (como puede ser el caso de Gmail) pueden ser víctimas de ataques “man in the middle” recopilando datos privados del usuario con el peligro que ello conlleva.

Google actualizará su navegador eliminando dicho certificado y Microsoft ya  ha procedido a eliminar a DigiNotar de la “Microsoft Certificate Trust List”. Hablando de Firefox / Iceweasel, el equipo de soporte de Mozilla, ha publicado cómo eliminar dicho certificado.

Fuente y más información (Bitelia).

Hace unos días os hablamos de la vulnerabilidad que afectaba al servidor web Apache. Esta vulnerabilidad permitía ataques de denegación de servicio y que con un número limitado de peticiones, dicho ataque dejase al servidor web afectado sin recursos por un excesivo consumo de memoria y CPU.

Debian ha puesto a disposición de los usuarios los correspondientes parches que solventan dicha vulnerabilidad  (CVE-2011-3192) (etiquetados como 2.2.9-10+lenny10 y 2.2.16-6+squeeze2.)

Además, se añade un parche específico para la versión “oldstable” (Lenny) que solventa un bug que afecta a mod_dav (CVE-2010-1452) que también podía derivar en ataques de DoS en el servidor web.

Más información sobre el anuncio (Debian DSA-22981 Apache 2) en Debian.

En estos momentos, en el sitio web oficial de Apache aún no hacen mención a una nueva relase que corrija estos bugs, pero se espera que en unas horas esté disponible una versión con el parche para su instalación/compilación.

Se ha reportado por parte de Norman Hipper una vulnerabilidad catalogada como “seria“ por el equipo de phpMyAdmin que afecta a versiones desde la 3.3.0 a la 3.4.3.2 (CVE-2011-3181).

La explotación del XSS vía un ataque “cross-site scripting“, puede hacer posible que un atacante remoto consiga conectarse al popular gestor de bases de datos Open Source con el peligro que ello conlleva.  Para paliarlo, se recomienda encarecidamente actualizar el software a las versiones 3.3.10.4 or 3.4.4 o aplicar los parches que se han puesto a disposición de los usuarios.

Más información y parches; en phpMyAdmin | The H Security.

Visto en; UnixenMac

Fueron detectados hasta nueve problemas de seguridad dentro del kernel de Ubuntu 8.04 LTS que con esta actualización lista para ser descargada quedan solucionados. Concretamente se trataba de vulnerabilidades en el sistema de archivos /proc, en Bluetooth, el filtrado de red, la pila de red DCCP, dispositivos TPM, el subsistema IRDA y redes X.25, que con la versión 2.6.24-29.93 han pasado a la historia. Si aún usáis esta distribución de “soporte largo” debéis proceder a la actualización de su nucleo a la mayor celeridad.

Se trata de fallos de graves cuyas consecuencias pueden ir desde una denegación de servicio hasta incluso la obtención de permisos de root por parte de un atacante. Os dejamos este enlace a la fuente de la noticia donde hay mas información acerca de esta importante actualización de seguridad.

Ayer por la noche, el sitio web de PrestaShop fue víctima de un ataque. Este hecho, vía un script para automatizar el proceso, según la información que proporciona PrestaShop, derivó en la transcripción de noticias en la parte administrativa de las tiendas.

Si tu tienda está entre las afectadas, consulta esta información (en castellano) para solventar el problema.

Fuente; IntecoCert.