Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Enero de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Enero 2012;

• 31: Problema de seguridad en sudo
• 26: Herramientas para la interpretación de capturas de red. (9/10) Parte 2
• 26: Navegador web Opera (11.61) solventa dos bugs, uno de ellos catalogados como crítico.
• 25: [Breves] Kernel linux-3.2.x soporta conector midi UM-ONE
• 25: Joomla! 2.5.0 y 1.7.4 actualizaciones de seguridad
• 24: [Breves] Actualización en Kernel de Ubuntu 10.10 solventa 3 vulnerabilidades.
• 23: Vulnerabilidades en Apache Tomcat 5, 6 y 7
• 22: Vulnerabilidades severas en phpMyAdmin. Debian Security (DSA-2391-1).
• 20: El FBI cierra Megaupload
• 19: Sobre la responsabilidad de la (IN) Seguridad. Interesante reparto / repaso
• 18: Contra la Ley #SOPA y en defensa de nuestros Derechos y Libertades Civiles
• 17: LibreOffice 3.4.5
• 17: Vulnerabilidades severas en Linux Kernel para Debian (DSA-2389-1).
• 16: Herramientas para la interpretación de capturas de red. (9/10) Parte 1
• 15: Comprueba vía web si tu equipo está afectado por “DNSChanger”.
• 12: Actualizaciones de Adobe Acrobat X y Reader X solucionan graves vulnerabilidades
• 11: Actualizaciones de Microsoft Enero de 2012
• 10: En Intypedia. Nuevo vídeo, lección 12. Seguridad en redes WiFi
• 03: [Breves] Disponible WordPress 3.3.1. Actualización de seguridad
• 02: Foros phpBB 3.0.10, versión de mantenimiento
• 02: Fallos de seguridad en WhatsApp
• 02: Contenidos publicados en Daboweb. Diciembre 2011

Compartir

Se han reportado por parte de Debian dos vulnerabilidades en el gestor de bases de datos phpMyAdmin. Se recomienda su actualización a la mayor brevedad posible debido al impacto de las mismas en el sistema caso de ser explotadas.

La versión “oldstable” (lenny) no está afectada por estos problemas, para la rama actual estable (Squeeze), hay que actualizar phpMyAdmin a la versión 4:3.3.7-7., en la de pruebas “Whezzy” hay que actualizar a la 4:3.4.7.1-1.:

Referencias sobre los bugs (entre ellos un XSS).

In the Debian bugtracking system: Bug 656247.
In Mitre’s CVE dictionary: CVE-2011-1940, CVE-2011-3181, CVE-2011-4107.

Compartir

La versión3.4.9 de phpMyAdmin ha sido liberada liberada cerrando dos agujeros de seguridad en el popular y tan usado gestor de bases de datos Open Source. Esta nueva versión solventa dos bugs XSS (cross-site-scripting) y se encuentran afectadas todas las de la rama 3.4x ,incluyendo la 3.4.8 por lo que es más que recomendable actualizar con brevedad.

Fuente | Notas de la versión.

Compartir

Google acaba de liberar la versión 15 (15.0.874.121) de su navegador web que solventa un bug catalogado como de impacto alto para el sistema , habiendo sido reportado por Christian Holler (quien por cierto, ha recibido 1.000 $ por ello a través del sistema de “pago por bugs” de Google).

El fallo se daba en el motor de JavaScript V8, que ha sido actualizado a la versión 3.5.10.24 y palía un bug relacionado con SVG e iframes. Es por ello que se recomienda actualizar a la mayor brevedad posible el navegador.

Fuente y más información (ENG).

Compartir

La actualización de firmware 7.6 para el dispositivo Time Capsule de Apple y la estación base Airport (802.11n), corrige un bug serio en DHCP, CVE-2011-0997. Un atacante puede conseguir privilegios dentro de la red a través de respuestas DHCP maliciosas mediante la ejecución arbitraria de código, por lo que se recomienda actualizar a la mayor brevedad posible vía el menú “Actualización de software”.

Compartir

Adobe acaba de publicar una nueva versión de su reproductor Flash Player que solventa varias vulnerabilidades catalogadas como críticas para los sistemas afectados. En Windows, GNU/Linux, Mac OS X o Solaris, si tienes la versión 10.3.183.7 o una anterior, debes actualizar a la 10.3.183.10. En plataformas Android, si tienes la versión 10.3.186.6 o una anterior, debes actualizar a la versión 10.3.186.7.

Si quieres saber la versión de Flash Player que utilizas, puedes comprobarlo desde este enlace.

Concretamente, los bugs corregidos son los siguientes; CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430, CVE-2011-2444. Hablamos de vulnerabilidades serias caso de ser explotadas, como puede ser la ejecución de código arbitrario en los equipos afectados (AVM stack overflow), ataques cross-site scripting a través de webs o e-mails previamente manipulados para tal fin, en funciones de streaming, etc.

Información detallada en Adobe de los parches incluidos y bugs (ENG) | Descarga de Flash Player.

Compartir

Se está hablando mucho estos días del bug y el cambio de passwords en Lion tal y como podemos leer en Ontinet y nos han llegado varias consultas sobre cómo actuar hasta que Apple publique una actualización que lo solvente.

Aclaramos en el título lo de “un ataque local”, ya que se requiere acceso físico a la máquina para poder llegar a efectuar dicho ataque con sólo tipear el siguiente comando en el terminal; dscl localhost -passwd /Search/Users/NombreUsuario.

Esta vulnerabilidad / debilidad en la gestión de las contraseñas de Mac OS X no es nueva tal y como nos recuerdan desde Genbeta (donde también se dan buenos consejos), ahora, con el lanzamiento de Lion, vuelve a estar de actualidad y es lógica la preocupación de los usuarios de OS X frente a un ataque de este tipo.

Realmente no es algo tan complejo de paliar y obviamente, ayuda que sea un ataque para el que se necesite estar frente al equipo caso de querer efectuarlo. También en LifeHacker (ENG) un usuario ha preguntado lo mismo y vamos a dar un repaso a las medidas a poner en práctica.

Desde el terminal;

• Desactivar los permisos de dscl (como root) tipeando; chmod 100 /usr/bin/dscl

Desde Preferencias del Sistema – Seguridad;

• #Nota. Puedes ver esta imagen de LifeHacker para ver mejor los cambios
• Desactiva el inicio de sesión automático.
• Activa la opción “solicitar password inmediatamente” cuando se active el salvapantallas o la suspensión.
• (Sobre este punto comentar que en Preferencias- Energía podéis bajar el tiempo de esos valores, recomendable).
• Solicitar la contraseña de administrador para desbloquear cualquier preferencia del sistema bloqueada.
• No olvides bloquear el candado en la zona inf izquierda.

Desde Preferencias del Sistema – Usuarios y grupos;

• Desactivar la cuenta de invitado
• (También recomendable en “compartir” desactivar el acceso a carpetas compartidas)

Ahora sólo es cuestión de esperar y ver el “tiempo de respuesta” por parte de Apple para parchear este agujero de seguridad.

Compartir

El equipo de desarrollo de Coppermine ha publicado una actualización de su sistema de galerías (versión 1.5.16) que viene a solventar una vulnerabilidad catalogada como “seria” para la integridad del CMS (Gestor de contenidos).

El bug afecta a la posibilidad de registrarse y acceder a la parte administrativa de las galerías con privilegios de administrador, de ahí que digan; “de obligatoria actualización“. Además de este fallo, se han añadido 4 mejoras en otros aspectos de Coppermine.

La info original y cambios (ENG) | Link a la descarga | Tutorial actualización Coppermine.

Compartir