Se ha liberado por parte de la comunidad de desarrolladores de BIND, la versión BIND 9.8.1-P1 que solventa una vulnerabilidad seria que afecta al conocido servidor DNS y que según podemos leer en ISC, resuelve fallos en su funcionamiento a través de ciertas peticiones y el registro o log de errores en “query.c”.
Descarga | lista de cambios. (También están disponibles los parches en los “sources” de Debian).
El equipo de desarrollo del sistema de foros SMF ha liberado las versiones 2.0.1 y 1.1.15, con parches que solventan vulnerabilidades catalogadas como críticas encontradas en versiones anteriores (concretamente dos en la 2.x y una en la rama 1.x) y que podrían permitir conseguir privilegios externos en el área de moderación/administración.
Anuncio oficial | Sección de descargas | Info detallada sobre CSRF en SMF 2 (uno de los bugs).
Para actualizar (además de un backup del foro y base de datos) se pone el foro en idioma “Inglés, se actualiza instalando los nuevos ficheros, luego se ejecuta /foro/upgrade.php y después, no olvidéis borrar el fichero de actualización upgrade.php
Hace unos días os hablamos de la vulnerabilidad que afectaba al servidor web Apache. Esta vulnerabilidad permitía ataques de denegación de servicio y que con un número limitado de peticiones, dicho ataque dejase al servidor web afectado sin recursos por un excesivo consumo de memoria y CPU.
Debian ha puesto a disposición de los usuarios los correspondientes parches que solventan dicha vulnerabilidad (CVE-2011-3192) (etiquetados como 2.2.9-10+lenny10 y 2.2.16-6+squeeze2.)
Además, se añade un parche específico para la versión “oldstable” (Lenny) que solventa un bug que afecta a mod_dav (CVE-2010-1452) que también podía derivar en ataques de DoS en el servidor web.
Más información sobre el anuncio (Debian DSA-22981 Apache 2) en Debian.
En estos momentos, en el sitio web oficial de Apache aún no hacen mención a una nueva relase que corrija estos bugs, pero se espera que en unas horas esté disponible una versión con el parche para su instalación/compilación.
Tal y como se lee en el título de la noticia, Microsoft ha puesto a disposición de los usuarios 13 boletines de seguridad que solventan un total de 22 vulnerabilidades en productos como; Internet Explorer, Microsoft .NET Framework, Microsoft Developer Tools, Microsoft Office y Microsoft Windows.
Desde Microsoft, Angela Gunn, obviamente insta a parchear en primer lugar las dos vulnerabilidades catalogadas como críticas y que afectan a Internet Explorer (MS11-057) donde el parche más serio es el que corrige la posibilidad de ejecución remota de código viendo una web especialmente manipulada para tal fin.
La otra afecta a DNS Server (MS11-058), donde el bug más importante que se ha corregido también impide la ejecución remota de código, si un atacante envía una consulta especialmente manipulada “Naming Authority Pointer” (NAPTR) al servidor DNS.
Más información en Microsoft sobre todos los parches y productos afectados.
Adobe acaba de publicar múltiples parches para sus productos; FlashPlayer, ShockwavePlayer, FlashMediaServer, Photoshop CS 5 y RoboHelp que vienen a solventar varias vulnerabilidades, siendo catalogadas por el fabricante como “críticas” por lo que es más que recomendable su inmediata actualización.
Para ver el impacto sobre el sistema además de los detalles de los bugs solventados por las nuevas versiones, a continuación los enlaces a la información original de Adobe; (En Inglés)
Las vulnerabilidades afectan según el software a Windows, GNU/Linux y Mac OS X.
Según leemos en InformationWeek, dentro del plan de actualizaciones trimestrales de Oracle, el próximo Martes se pondrán a disposición de los usuarios 59 parches que corrigen múltiples vulnerabilidades en varios de sus productos.
Cabe destacar que de esas vulnerabilidades, 21 se encuentran en la suite de productos de Solaris. Esta actualización contiene 13 nuevas correcciones de seguridad para el servidor de base de datos Oracle, parches también para 8 diferentes componentes de bases de datos Oracle:(Application Express, Export, Listener, Net Foundation Layer, Network Layer, Oracle OLAP, Oracle Secure Backup) etc.
Se recomienda a todos los administradores que usen estos productos, actualizar a la mayor brevedad posible cuando estén disponibles los parches ya que varias de las vulnerabilidades que se solventan, están catalogadas como críticas y explotables remotamente sin falta de autenticación bajo determinadas circunstancias.
Toda la info sobre estos parches en Oracle.
Desde websecurity, nos ofrecen una serie de interesantes consejos y medidas a poner en práctica para dotar a un sistema basado en GNU/Linux de un mayor nivel de seguridad. Partiendo de la creencia (al menos por estos dominios) de que la seguridad total es una utopía, cuanto más hagamos por llegar a ella, mejor que mejor.
Se da un repaso a herramientas creadas para fortalecer el núcleo (linux) con parches que pueden protegerte de ataques por desbordamiento del búfer, denegación de servicio y otros muy comunes. También se revisan servicios innecesarios o que puedan ser fuente de problemas y cómo desactivarlos, implementación de políticas de seguridad en el sistema, etc, etc.
El contenido se ofrece en 5 partes para una mejor comprensión.
Como podréis comprobar, los consejos y medidas a adoptar, además de mucha lógica, están escritos de un modo comprensible por todos. Recordad que en nuestro subforo de GNU/Linux, nos tenéis para echaros un cable -;)
Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y una vulnerabilidad de seguridad crítica de Cross site scripting; leer más (en inglés).
Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.
Aparte de las copias de seguridad que hay que hacer siempre antes de actualizar un CMS hay que tener en cuenta que la actualización a las versiones 6.11 y 5.17 pisa los archivos .htaccess y robots.txt con lo cual hay que prestar especial atención a la hora de salvar estos archivos, especialmente si los hemos personalizado ya que perderíamos los cambios realizados.
Tema original Big City 1.2 modificado por Daboweb Team. Contenidos licenciados bajo Creative Commons 3.0(es)
