Daboweb

MySQL

[Breves] Mirror comprometido de phpMyAdmin sirvió una versión (3.5.2.2) con una puerta trasera

Posted by Redacción on septiembre 26, 2012
Seguridad Informática, Webmaster

A través de una información publicada en S21sec, ayer pudimos saber que uno de los proyectos con más peso en cuanto a la administración de bases de datos MySQL vía web, tuvo un problema de seguridad que afectó a uno de los “mirrors” desde el que se distribuye phpMyAdmin. En concreto, la web del proyecto informa que la versión afectada fue “3.5.2.2-all-languages.zip“.

La recomendación ante la duda es reinstalar o comprobar si la versión instalada contiene un fichero con el nombre de server_sync.php

Tags: , , , , , ,

Vulnerabilidades severas en phpMyAdmin. Debian Security (DSA-2391-1).

Posted by Dabo on enero 22, 2012
Seguridad Informática

phpMyAdminSe han reportado por parte de Debian dos vulnerabilidades en el gestor de bases de datos phpMyAdmin. Se recomienda su actualización a la mayor brevedad posible debido al impacto de las mismas en el sistema caso de ser explotadas.

La versión “oldstable” (lenny) no está afectada por estos problemas, para la rama actual estable (Squeeze), hay que actualizar phpMyAdmin a la versión 4:3.3.7-7., en la de pruebas “Whezzy” hay que actualizar a la 4:3.4.7.1-1.:

Referencias sobre los bugs (entre ellos un XSS).

In the Debian bugtracking system: Bug 656247.
In Mitre’s CVE dictionary: CVE-2011-1940, CVE-2011-3181, CVE-2011-4107.

Tags: , , , , , , , ,

Comprometido mysql.com (con posibles consecuencias para sus visitantes).

Posted by Dabo on septiembre 27, 2011
Seguridad Informática

Según leemos en Hack Players, la web de MySQL ha sido víctima de un ataque  cuyo resultado, a falta de más datos sobre los contenidos que aloja, es la posible infección por malware de quienes lo visiten. Es la segunda vez este año que mysql.com sufre un ataque (no ponemos el enlace ya que ahora mismo, no es seguro visitar su web). En Slashdot se ha publicado que vendieron el exploit por 3.000 $.

Se trata de un “iframe” ofuscado en su código, que realiza una redirección a un servidor localizado en Alemania, para acto seguido, llevar al visitante a otro servidor desde donde se ejecuta un exploit. Recomendamos extremar las precauciones si se ha visitado recientemente y realizar un análisis del equipo en busca de posibles rastros de malware.

Tags: , , , ,

PostgreSQL 9.1

Posted by vlad on septiembre 16, 2011
Programas

Nueva versión disponible de este servidor de bases de datos libre, el cual ofrece prestaciones avanzadas y al que muchos expertos califican como mas fiable que MySQL sobre todo a la hora del manejo de grandes volúmenes de datos. En esta entrega se incorporan características como el deniominado “K Vecinos Más Próximos (K-Nearest-Neighbor, KNN)”, una potente búsqueda de resultados usando el método de la indexación. En este enlace tenéis la nota del lanzamiento oficial, asi como una lista detallada de las funcionalidades de PostgreSQL 9.1, con las que seguro muchos administradores de bases de datos verán mas que cumplidas sus necesidades.

PostgreSQL se distribuye con una licencia libre de tipo BSD, con lo que puede ser una alternativa mas que viable a un posible “cambio de rumbo” de Oracle con respecto a MySQL, ya que como muchos de vosotros sabéis, este gigante informático nos viene dando una serie de “disgustos” a los usuarios de aplicaciones de código abierto y libres. Dentro de la comunidad libre hay otras opciones dignas de ser llamadas como recambio de MySQL, como por ejemplo MariaDB, la cual deriva del mismo y ofrece grandes similitudes o mejoras con respecto al proyecto padre.

Tags: , , ,

Vulnerabilidad seria en phpMyAdmin (XSS en versiones de la 3.3.0 a la 3.4.3.2)

Posted by Dabo on agosto 25, 2011
Seguridad Informática

Se ha reportado por parte de Norman Hipper una vulnerabilidad catalogada como “seria por el equipo de phpMyAdmin que afecta a versiones desde la 3.3.0 a la 3.4.3.2 (CVE-2011-3181).

La explotación del XSS vía un ataque “cross-site scripting“, puede hacer posible que un atacante remoto consiga conectarse al popular gestor de bases de datos Open Source con el peligro que ello conlleva.  Para paliarlo, se recomienda encarecidamente actualizar el software a las versiones 3.3.10.4 or 3.4.4 o aplicar los parches que se han puesto a disposición de los usuarios.

Más información y parches; en phpMyAdmin | The H Security.

Visto en; UnixenMac

Tags: , , , , ,

¿Estás preparado para WordPress 3.2? ¿Y tu servidor web? WordPress 3.2 ha llegado, las novedades.

Posted by Dabo on julio 05, 2011
Webmaster

Así empieza el anuncio original del lanzamiento de WordPress 3.2; Are You Ready for WordPress 3.2? Quizás ese “¿y tu servidor web? debería ir en el título, los requisitos mínimos han cambiado y debes saber que la versión 3.2 pide que se ejecute PHP 5.2.4 y MySQL 5.0.

Si tu plan de alojamiento no cumple esos mínimos, no te saldrá el aviso de actualización en tu tablero o panel de administración, si vas a “actualizaciones” verás el aviso de que no se cumplen las características anteriormente comentadas.

Este detalle de los requisitos, no es algo para no tener en cuenta, ya que si bien en la mayoría de los casos con MySQL no habrá tanto problema al estar la mayoría con 5.0x, hay servidores que no están con PHP 5.2.4 o superior (ya hay usuarios comentando este hecho) aunque a “fuerza” de demandarlo, las empresas de hosting que alojan entre muchos otros CMS (gestores de contenidos) WordPress, por su propio interés irán poniendo al día PHP y MySQL aunque quizás no hablemos ni de un 5% de los casos.

Hablando de requerimientos, comentan que dejan de dar soporte a Internet Explorer 6, un navegador ya con 10 años de vida y ampliamente superado por nuevas versiones y si tu navegador es antiguado te saldrá un mensaje en el panel de admin (dicen que eso sí, amigable;) “amarillo anaranjado” indicando que hay una versión más reciente del mismo. De todos modos, se entiende que además lo harán con versiones obsoletas de navegadores como Firefox, Chrome o Safari.

¿Novedades más destacadas?

El editor TinyMCE se ha hecho más “2.0”, ahora es más moderno y se puede combinar la vista habitual con otra más minimalista y que no distrae tanto cuando escribes (a Matt, creador de WordPress es una de las novedades que más le gustan, la visión “zen” con un click).

El panel de administración también ha tenido un nuevo rediseño y ahora es también más rápido cuando se accede, hablando de velocidad, es un punto en el que comentan que han trabajado a fondo (es cierto que se ve todo más fluido según he podido comprobar).

El tema por defecto, Twenty Eleven, todo bajo HTML5 y la verdad con muy buena pinta además de con variadas opciones de configuración. También habrá mejoras visibles en las actualizaciones, los enlaces internos vía el editor HTML, etc.

Hay que tener en cuenta que quizás en este momento no todos los plugins que estás usando puedan hacerlo bajo la versión 3.2 pero los más populares ya están preparados y el resto se entiende que estos días irán actualizándose.

Podéis actualizar vía vuestro panel de admin o desde la página de descargas de WordPress.

Tags: , , , , ,

MySQL 5.5

Posted by vlad on diciembre 18, 2010
Programas

Oracle ha lanzado una nueva versión del sistema gestor de bases de datos MySQL, que alcanza con esta su versión número 5.5. Entre las principales novedades que trae consigo destaca que InnoDB será a oartir de ahora su sistema de almacenamiento por defecto, así como una mejora generalizada en el rendimiento de esta base de datos con licencia GPL ampliamente usada sobre todo en entornos libres.

La multinacional Oracle ha aprovechado este lanzamiento para reiterar su intención de seguir apoyando el software libre, manifestando que la continuidad de MySQL está asegurada sin que ello suponga algún peligro comercial para su otro gestor de bases de datos. Nuevamente estamos ante otro capítulo de Oracle vs. Software Libre que tanto ha dado que hablar en las últimas fechas.

Así que ahora viene la pregunta del millón: ¿nos fiamos de Oracle?.

Tags: , , ,

Dabo y Ricardo Galli (Menéame, UIB) hablando de la administración de servidores web

Posted by Redacción on noviembre 20, 2010
Webmaster

Nuestro compañero Dabo se pone en esta ocasión al micro junto a Ricardo Galli (Menéame, UIB) en un episodio especial de su podcast dedicado a la administración y gestión de un servidor o proyecto web.

El resultado, ha sido una didáctica charla sobre sysadmins entre dos colegas que nos van haciendo entrar en escena a medida que transcurre el podcast abarcando las siguientes cuestiones;

Escalado web, MySQL, Amazon, Apache, Ngnix, Caching, Monitorización, Seguridad.

Acceder aEspecial SysAdmins en Kernel Panic(Dabo) | “Un podcast para SysAdmins (Gallir).

Junto a la entrada original en DaboBlog, se puede ver una extensa documentación de todo lo comentado en el audio.

Tags: , , , , , , , , , , ,