Daboweb | Seguridad y ayuda informática |

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en septiembre de 2013 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

• 29: phpBB 3.0.12 disponible, urge actualizar
• 28: Problemas para IOS 7.0.2, nuevo bug con pantalla bloqueada
• 26: Disponible iOS 7.0.2 (solventa los bugs con pantalla bloqueada – Passcode Lock)
• 24: Curso de privacidad en Cript4you. Lección 6. Malware: orígenes y evolución
• 18: [Breves] IOS 7 disponible (solventa 80 vulnerabilidades)
• 18: [Breves] Disponible iTunes 11.1 (actualización de seguridad)
• 13: Actualización de seguridad 2013-004 (Snow Leopard / Lion) y OS X 10.8.5 Mountain Lion
• 12: WordPress 3.6.1, actualización de mantenimiento y seguridad
• 04: IPv6 (Parte 03) – “Encabezado”, por Alejandro Corletti

Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.6.1 y que solventa 13 bugs respecto a la entrega anterior (3.6). Está catalogada como “Actualización de Seguridad” y recomiendan aplicarla de forma inmediata.

Se han corregido 3 bugs de un impacto mayor (uno relacionado con PHP que podría derivar en la ejecución de código, otro con los roles de autor bajo el que se podría publicar un post con otro nombre y un error de validación de entrada que podría redirigir al usuario a otro sitio web), además de otro relacionado con la subida de ficheros y mitigar un potencial XSS.

La actualización, muy importante hacerla, está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

Tal y como podemos leer en el blog de desarrollo de WordPress, la nueva versión 3.6, de nombre Oscar, viene cargada con importantes mejoras.

Incluye entre otras cosas un nuevo tema por defecto, Twenty Thirteen y un mejorado sistema de autoguardado cada 15 segundos mientras estás escribiendo la entrada o cada dos minutos si no hay ninguna actividad en la pantalla. Un mejorado sistema de reproducción de audio y vídeo es otra de las novedades en esta última versión además de otras varias relacionadas con la propia interfaz, tanto en la revisiones de entradas, como menús y otras cosas. En el propio anuncio oficial hay disponible un vídeo como nos tienen acostumbrados últimamente en las actualizaciones mayores.

Descarga de WordPress 3.6 | Consulta nuestra guía de actualización de WordPress.

Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.5.2 (segunda de la rama 3.5) y que solventa 12 bugs respecto a la entrega anterior (3.5.1).

Respecto a cuestiones de seguridad, se han solventado 7 vulnerabilidades «serias», varias relacionadas con XSS, DoS, entre ellas una relacionada con la librería de SWFUpload y otra con la librería externa del editor TinyMCE y otras menores. Podeis leer la traducción de estas correcciones de seguridad en Ayuda WordPress.

La actualización, muy importante hacerla,  está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.5.1 y que solventa 37 bugs respecto a la entrega anterior (3.5). Además, podemos encontrar mejoras en el editor, librería multimedia, posts programados, API, etc.

Respecto a cuestiones de seguridad, se ha solventado una de la que ya nos hicimos eco relativa a escaneos de puertos y pingbacks que afecta a todas las versiones anteriores, además de tres XSS de diferente impacto (rel: «shortcodes», contenido de los post y la librería externa «Plupload»).

La actualización está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

Tal y como podemos leer en Ayuda WordPress, se ha reportado una vulnerabilidad XSS explotable a través del plugin Jetpack para WordPress. Comprobad si se está ejecutando desde el navegador a través de tusitio.com/wp-content/plugins/jetpack/modules/custom-css/csstidy/css_optimiser.php.

En la fuente original se menciona un XSS en CSSTidy (css_optimiser.php) y se puede ver que data de julio de 2010...

Dicho fichero (más info en el trac) ha sido ya eliminado (borradlo en vuestro blog) el plugin funciona sin problemas.

Tal y como podemos leer en el blog de desarrollo de WordPress, la nueva versión 3.5 además corregir diversos fallos localizados en versiones anteriores, viene con importantes mejoras principalmente en la gestión de galerías, así como en el manejo de la biblioteca multimedia (organización, subida de ficheros, etc).

También hay mejoras en el tema por defecto (Twenty Twelve) que ahora está mejor adaptado a dispositivos móviles. Se han afinado los estilos del panel de administración (gráficos más depurados, selector de color y otros aspectos de menor utilización en el panel).

Desde este enlace podéis ver un vídeo con las nuevas funcionalidades. La lista al completo de cambios (ENG).

Descarga de WordPress 3.5 | Consulta nuestra guía de actualización de WordPress.

Desde el blog de desarrollo de WordPress, nos llega el aviso del lanzamiento de una nueva versión. Esta entrega del CMS (3.4.2) está catalogada como de mantenimiento / seguridad y viene a solventar 20 bugs, tal y como informan en el área de la administración una vez que se instala.

Debido al alcance de los problemas resueltos y las mejoras que aporta, es más que importante aplicar la actualización lo antes posible.

Lista de cambios:

• Fixes some issues in the admin area where some older browsers (IE7, in particular) may slow down, lag, or freeze.
• Fixes an issue where a theme may not preview correctly, or its screenshot may not be displayed.
• Fixes the use of multiple trackback URLs in a post.
• Prevents improperly sized images from being uploaded as headers from the customizer.
• Ensures proper error messages can be shown to PHP4 installs. (WordPress requires PHP 5.2.4 or later.)
• Fixes handling of oEmbed providers that only return XML responses.
• Addresses pagination problems with some category permalink structures.
• Adds more fields to be returned from the XML-RPC wp.getPost method.
• Avoids errors when updating automatically from very old versions of WordPress (pre-3.0).
• Fixes problems with the visual editor when working with captions.

Version 3.4.2 fixes a few security issues and contains some security hardening. These issues were discovered and addressed by the WordPress security team:

• Fix unfiltered HTML capabilities in multisite.
• Fix possible privilege escalation in the Atom Publishing Protocol endpoint.
• Allow operations on network plugins only through the network admin.
• Hardening: Simplify error messages when uploads fail.
• Hardening: Validate a parameter passed to wp_get_object_terms().

Nuestra guía para actualizar WordPress (aparte de la actualización a «un click» desde el Dashboard).

Ya tenemos entre nosotros la nueva y esperada versión de WordPress 3.4 con el nombre de versión «Green» en honor al guitarrista de Jazz Grant Green. En este caso, hablamos de una actualización «mayor» en cuanto a novedades para usuarios, editores y de más peso para la amplia comunidad de desarrolladores que actualmente apuesta por esta plataforma de gestión de contenidos.

Para la gran mayoría de administradores de un blog bajo WordPress, los cambios más visibles serán en el editor, la personalización de ciertos aspectos de los temas y la gestión de imágenes tanto insertadas, como las que ya están en tu biblioteca que podrás usarlas como cabecera del blog, Widgets, integración con Twitter, gestión de comentarios, idioma, navegación, etc (como siempre, en Ayuda WordPress está muy bien resumido).

Pero donde los cambios se pueden ver con detalle, es en la lista de nuevas funcionalidades de WordPress 3.4 (ENG) . Si te dedicas al desarrollo web con este CMS, verás que ha habido una gran actividad en cuanto al trabajo con los plugins, temas, llamadas a la base de datos y otras funciones de importancia, de ahí que se note que es una revisión «mayor».

Si no optas por la actualización automática desde el escritorio, puedes consultar nuestra guía de actualización.

La historia es fácil de contar, dos de los integrantes de Daboweb con más «solera», Danae y Destroyer, un día decidieron abrir un blog. Ya venían con mucha experiencia de aquí y de otros proyectos en común como Windows Fácil y después, para los que empiezan, también como formato blog, «Básico y Fácil» (mucho mérito por cierto).

5 años después sólo podemos darles la enhorabuena ya que son muchos y además publicando día a día, con unas cifras en cuanto a visitas (cosa que no les obsesiona) que harían palidecer a más de un «Top Blogger». Todo ello sin perder la frescura y variedad en los contenidos, la sinceridad cuando se ponen frente al teclado y con el único ánimo y fin de compartir con el resto lo que van aprendiendo.

Así que desde esta vuestra casa y a unos día de nuestro décimo aniversario, sólo podemos deciros un «a por otros 25 más» (por lo menos;).

Acceso a «Cajón Desastres» | Post de su aniversario.

Los lectores habituales de Daboweb y otros blogs dedicados a estas cuestiones, ya estaréis al tanto del bug que afectaba a temas y plugins de WordPress con versiones de «Timthumb» vulnerables. Esta herramienta tan utilizada, hace posible la redimensión de imágenes en WP y se reportó una vulnerabilidad que permitía subir cualquier fichero PHP al directorio «cache» de Timthumb, pudiendo ejecutar código y comprometiendo al sitio web afectado.

Hecha esta aclaración, nos hacemos eco de una noticia publicada hoy en «SC Magazine» (ENG), en la que se dan datos acerca de los miles de blogs afectados hasta la fecha, además de recordar que desde hace meses hay una versión de Timthumb corregida.

Como se puede ver, nuevos problemas en viejas vulnerabilidades. Esta es seria y fácil de solventar, os recomendamos revisar vuestras instalaciones de WordPress y reemplazar versiones vulnerables del script caso de haberlas, por otra actualizada (guardadlo en texto plano y renombrarlo como timthumb.php).

Desde el blog de desarrollo de WordPress nos llega el aviso de esta actualización de seguridad disponible desde vuestros tableros de admin.

Esta entrega de WP corrige un problema serio que podría permitir a un malintencionado usuario con permisos de Editor ganar mayores privilegios sobre el blog afectado.

También agradecen a Gudinavicius de SEC Consult por su atención prestada e informan de que esta Version 3.1.4 incorpora otras mejoras de seguridad además de medidas de protección adicionales gracias al trabajo de los desarrolladores de WordPress  Alexander Concha y Jon Cave además del equipo de seguridad de WP.

Para conocer todos los detalles y cambios de esta versión ve al «change log» (ENG)

Además, se ha liberado la versión 3.2 Release Candidate 3 (descarga directa y versión para desarrolladores, no para blogs «en producción»)

Método para actualizar;

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Desde el blog de WordPress han anunciado la disponibilidad de la primera «Release Candidate» de la futura versión estable etiquetada como «3.2». Dándole un vistazo al «trac» podéis comprobar el gran trabajo de toda la comunidad que trabaja en torno a este popular CMS (Gestor de contenidos) con más de 350 tickets (mejoras y bugs de diversa índole) solventados.

Aunque lo decimos en el título, no está de más avisar de que se trata de una versión de desarrollo, no para blogs en producción y aún hay muchos plugins sin soporte. Os recordamos que el pasado día 26 de Mayo anunciamos el lanzamiento de la versión 3.1.3 (estable) de WordPress catalogada como «Actualización de seguridad».

Todas las novedades en Ayuda WordPress.

Nueva actualización de seguridad para WordPress, la nueva versión 3.1.3 que mejora la seguridad con aportaciones de Alexander Concha (buayacorp).

Incluye diferentes mejoras y soluciona problemas de seguridad que podemos ver en el changelog. Además se ha anunciado también el lanzamiento del segunda beta de WordPress 3.2, una versión de pruebas que no debemos poner en un sitio en producción.

Como toda actualización de seguridad es importante y muy conveniente actualizar a la mayor brevedad posible.

Entre las mejoras no explicadas detalladamente en el anuncio oficial tenemos las siguientes:

• La vulnerabilidad SA44409 fue corregida por el changeset 18014. Esto autorizaba a subir archivos que permitían la ejecución de código php, siempre y cuando la configuración de Apache permita aceptar múltiples extensiones. Esto es una variante de un falla anterior.
• El changeset 18018 corrige uno de los varios problemas que reporté, en principio permitía al igual que el anterior, la ejecución de código php, con la diferencia de que no es necesario ningún tipo de configuración en especial. Tal vez dentro de un tiempo llegue a publicar el exploit que hice. También corrige fallas que permitían realizar ataques XSS.
• El changeset 18019 corrige problemas que permiten realizar ataques XSS.
• El changeset 18023 está relacionado con un problema relacionado a la privacidad de los backups de wordpress.

Vía: buayacorp.

Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Noticia en WordPress.org | Descarga.

Primera actualización disponible para la versión 3.1 de WordPress. Esta actualización corrige varios problemas de seguridad, 4 de prioridad alta, 20 de prioridad normal y 2 de prioridad baja.

Además corrige 3 problemas de seguridad detectados por dos de los principales de desarrollo de WordPress, concretamente del equipo de seguridad que afectan a una vulnerabilidad XSS, un problema relacionado con los enlaces publicados en comentarios directamente relacionado con PHP y un problema CSRF.

Entre las mejoras aportadas encontramos las siguientes:

• Mejora la seguridad en la carga de imágenes
• Mejoras de rendimiento
• Mejora el soporte de  IIS6
• Soluciona los enlaces de taxonomías y PATHINFO (/index.php/), enlaces permanentes (permalinks).
• Soluciona varios problemas en que consultas a la base de datos y taxonomías podrían provocar problemas de compatibilidad con plugins.

Imprescindible actualizar. Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Noticia en WordPress.org | Descarga.