Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Enero de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Enero 2012;

• 31: Problema de seguridad en sudo
• 26: Herramientas para la interpretación de capturas de red. (9/10) Parte 2
• 26: Navegador web Opera (11.61) solventa dos bugs, uno de ellos catalogados como crítico.
• 25: [Breves] Kernel linux-3.2.x soporta conector midi UM-ONE
• 25: Joomla! 2.5.0 y 1.7.4 actualizaciones de seguridad
• 24: [Breves] Actualización en Kernel de Ubuntu 10.10 solventa 3 vulnerabilidades.
• 23: Vulnerabilidades en Apache Tomcat 5, 6 y 7
• 22: Vulnerabilidades severas en phpMyAdmin. Debian Security (DSA-2391-1).
• 20: El FBI cierra Megaupload
• 19: Sobre la responsabilidad de la (IN) Seguridad. Interesante reparto / repaso
• 18: Contra la Ley #SOPA y en defensa de nuestros Derechos y Libertades Civiles
• 17: LibreOffice 3.4.5
• 17: Vulnerabilidades severas en Linux Kernel para Debian (DSA-2389-1).
• 16: Herramientas para la interpretación de capturas de red. (9/10) Parte 1
• 15: Comprueba vía web si tu equipo está afectado por “DNSChanger”.
• 12: Actualizaciones de Adobe Acrobat X y Reader X solucionan graves vulnerabilidades
• 11: Actualizaciones de Microsoft Enero de 2012
• 10: En Intypedia. Nuevo vídeo, lección 12. Seguridad en redes WiFi
• 03: [Breves] Disponible WordPress 3.3.1. Actualización de seguridad
• 02: Foros phpBB 3.0.10, versión de mantenimiento
• 02: Fallos de seguridad en WhatsApp
• 02: Contenidos publicados en Daboweb. Diciembre 2011

Compartir

El equipo de desarrollo del sistema de foros phpBB acaba de anunciar la nueva versión “Bertie’s new year present” etiquetada como la 3.0.10, de mantenimiento que viene a corregir numerosos bugs.

Destacan en el post que han mejorado la asignación de permisos a los moderadores de tal modo que se pueden asignar de una forma más específica y menos generalizada y que la visibilidad del cumpleaños de los usuarios pasa a ser gestionado en el perfil donde se puede seleccionar mostrar ese dato o no hacerlo.

También afirman haber probado la versión sobre PHP 5.4 para que la actualización pueda hacerse sin problemas.

Como siempre recomiendan actualizar a la mayor brevedad posible informando que solo darán soporte a las actualizaciones orientadas a esta versión y los problemas surgidos en la misma (nada nuevo bajo el sol).

Recordamos la conveniencia, siempre, de realizar copias de seguridad de los datos antes de proceder a actualizar.

Información sobre phpBB 3.0.10 | Zona de Descargas |

Compartir

El equipo de desarrollo del sistema de foros SMF, ha liberado dos nuevas versiones para las ramas 2.x y 1.1x que solventan vulnerabilidades catalogadas por ellos como críticas. Debido a este hecho, se recomienda parchear los foros a la mayor brevedad posible.

Recordad que para actualizar hay que poner el foro en mantenimiento, después como idioma “english” y una vez parcheado, hay que ejecutar el script (y luego borrarlo) www/miforo/upgrade.php. Más info y descarga de las versiones 2.0.2 y 1.1.16.

Compartir

La vulnerabilidad y el exploit han sido reportados desde http://0verl0ad.blogspot.com/ (con créditos hacia http://xd-blog.com.ar y portalhacker.net) afecta al sistema de foros SMF 2.0. El asunto es serio, ya que puede desde afectar a usuarios con privilegios administrativos, así como al staff de moderación.

Destacar el gran trabajo que se ha hecho, publicando además del exploit, la solución para paliarlo, junto a una explicación acerca de cómo funciona el robo de “Tokens” y cómo se explota una vulnerabilidad de este tipo.

La solución;

Comenta o elimina las lineas 104 y 105 de /Sources/Subs-Menu.php, esto palía el problema y todo sigue funcionando:

Código;(Líneas 104 y 105).

/////////////////////////////////////////////////////
if (empty($menuOptions['disable_url_session_check']))
$menu_context['extra_parameters'] .= ‘;’ . $context['session_var'] . ‘=’ . $context['session_id'];
/////////////////////////////////////////////////////

Más información y fuente, en exploits-db.

Compartir

Entrada meramente informativa para comentaros que ya está de nuevo activa nuestra página de Facebook después de un tiempo inactiva por cuestiones técnicas.

Por lo que además de visitar nuestra portada, seguirnos vía RSS, también puedes hacerlo en facebook.com/Daboweb siguiendo el día a día de nuestras publicaciones. Obviamente, ahí está nuestro foro para cualquier duda técnica que te pueda surgir.

Y cada sois más los que os ponéis al día de la web a través de Twitter, os recordamos que la dirección es http://twitter.com/daboweb.

Compartir

Esta madrugada el equipo de phpBB ha puesto a disposición de los usuarios la versión 3.0.9 del sistema de foros phpBB. Esta nueva entrega viene a corregir varios bugs reportados además de agregar nuevas características.

Entre las más destacadas, están los dos nuevos motores de almacenamiento en caché, al estilo SMF 2.0,  (WinCache para servidores Windows y Redis backend). También se ha implementado un control de intentos de inicio de sesión que ahora puede ser limitado por IP para combatir los robots spammers, hay correcciones en el campo nombre de usuario y contraseña, etc. Anuncio original del lanzamiento.

No obstante, el mejor soporte hablando de foros phpBB lo podréis encontrar en la comunidad amiga phpbb-es.com.

Compartir

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en marzo de 2011 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Marzo 2011;

• Linus Torvalds “se limpia el culo” con los estándares
• VLC 1.1.8 soluciona graves vulnerabilidades
• Actualizaciones de Adobe Flash Player, Acrobat y Reader solventan vulnerabilidades críticas
• [Breves] Dabo hablando de seguridad básica (y no tan básica) en el podcast de El Arca de la Alianza
• Linux Mint 10 LXDE
• Liberado Kernel Linux 2.6.38
• Smooth-Sec. Sistema IDS / IPS con motor Suricata e interface Snorby.
• Seguridad básica en Daboweb. Las cuentas de correo electrónico
• Apache 2.4 beta: httpd 2.3.11
• Java vulnerable en Mac OS X
• Actualizaciones de Microsoft marzo 2011
• Joomla! 1.6.1, actualización de seguridad
• Disponible Wireshark 1.4.4
• Actualización de samba para Debian
• Dabo entrevistado en el podcast de fotolibre.net

Compartir

Ha sido lanzada una nueva actualización del sistema de foros SMF, esta nueva versión fué lanzada hace varios días (concretamente el 11 de Febrero) pero por diferentes motivos ha sido imposible la publicación de una forma más inmediata.

Es una actualización de seguridad aunque el changelog no muestra gran cosa en cuanto a información (tampoco entiendo por qué hay que descargarlo), viene además acompañada de un parche para versiones 2.0 RC4 y una nueva RC, la 2.0 RC5

Tutorial para actualizar foros SMF (by Dabo).

1- Ponéis el foro en mantenimiento y el idioma en Inglés (si no, os dará fallo).

2- Hago una copia exacta del foro actual por si necesito algo después (si habéis modificado el tema “default” os instala siempre una nueva versión y con ello plancha lo que hayáis personalizado o las imágenes añadidas por vosotros)

cp -prfv foro_actual foro_copia

3- Hago una copia de la base de datos por si cuando una vez actualizado el foro, al ejecutar el “upgrade.php” que toca la base de datos hay algún error.

mysqldump –opt -Q -u (nombre_usuario_mysql) -p base_datos > base_datos.sql (os pedirá el password y hará el volcado o “dump”)

4- Una vez descargado el fichero de actualización, lo coloco en la ráiz del foro y descomprimo el .zip o .tar.gz. De este modo se sobreescriben todos los ficheros antiguos por los nuevos. (Es lo mismo que descomprimir localmente en vuestro ordenador el archivo que os bajéis y subirlo al foro sustituyendo unos por otros para quienes lo hagáis vía FTP)

unzip smf_1-1-7_update.zip o tar -xvzf smf_1-1-7_update.tgz según el fichero de actualización descargado (.zip o .tar.gz)

Escribís “A” (opción All, todos) cuando os pregunte sobre los ficheros a sobreescribir.

5- Ahora ya está el foro actualizado, queda ejecutar www.vuestro_dominio_foro/upgrade.php desde el navegador para que haga los cambios en la base de datos, pero tenéis que dar permisos de escritura a Settings.php y Setting_bak.php para que funcione chmod 777 Settings.php Settings_bak.php. (Podéis hacerlo también desde vuestro programa FTP). Sed pacientes porque puede llevar tiempo el upgrade y para no cargar el server, SMF hace pausas en esta operación.

6 - Borráis el fichero upgrade.php (ya os sale un aviso arriba de que es un riesgo para la seguridad), ponéis de nuevo el foro en idioma español y quitáis la opción “en mantenimiento”. También recordad cambiar los permisos a Settings.php y Settings_bak.php con un chmod 644.

Como consejo final, os recomiendo vaciar la caché de vuestro navegador por si ha pasado algo con la plantilla usada y también hacer un “repair” y “optimize” a la base de datos;

mysqlcheck -r -u (nombre_usuario_mySQL) -p base_datos (os pide el password y hará la reparación)

mysqlcheck -o -u (nombre_usuario_mySQL) -p base_datos (os pide el password y hará la optimización)

Pero también podéis hacerlo vía el panel de admin del foro en la zona inferior “mantenimiento del foro”, (Buscar errores y reparar y optimizar las tablas de la base de datos).

Si tenéis alguna duda con este tutorial, por favor, planteadla en nuestro foro de Webmasters.

Página de descarga. Anuncio oficial.

Compartir