Daboweb

Php

[Breves] Drupal 6 dejará de dar soporte a PHP 4 en Marzo de 2014

Posted by Liamngls on diciembre 21, 2013
Webmaster, [Breves]

Logo categoría brevesRecientemente han publicado en la web de Drupal que a partir del 1 de Marzo de 2014 no darán soporte para instalaciones de Drupal 6 que corran sobre PHP 4. Se estima que puede haber muy pocos sitios web que estén bajo estas condiciones y se recuerda a los usuarios que dado el caso de tener una versión tan antigua de PHP podrían tener además otros problemas de seguridad añadidos.

Se recomienda gestionar una actualización o buscar un hosting que ofrezca como mínimo PHP 5.2.4 que es la versión más antigua para Drupal 7 que recibe soporte oficial.

En cualquier caso y ante la inminente salida de Drupal 8 quizás sería mucho más aconsejable actualizar el CMS a una versión más reciente, con mucho más soporte, más estable y más segura ya que cuando esta última se libere también dejará de haber correcciones de errores en Drupal 6.

Noticia en el sitio web de Drupal (eng).

Tags: , , , , ,

Actualizaciones de seguridad en Foros SMF (versiones 2.0.3, 1.1.17 y 1.0.23)

Posted by Dabo on enero 04, 2013
Webmaster

SMF vulnerabilidades El pasado 16 de diciembre (se nos pasó publicarlo, pero se están detectando ataques con éxito en versiones vulnerables) el equipo de SMF puso a disposición de los usuarios las versiones 2.0.3, 1.1.17 y 1.0.23 de su sistema de foros. Las actualizaciones solventan un fallo de seguridad de impacto alto en todas las ramas, así como otros menores para la 2.0.x.

Recomendamos por tanto actualizar a la mayor brevedad posible todas las instalaciones de SMF.

(El método más cómodo para hacerlo, es desde el administrador de paquetes integrado en el panel de admin del foro si sólo se trata de parchear desde una versión anterior).

Además de los comentados, ayer, desde Packet Storm, se reportó una vulnerabilidad que afecta a la actual rama estable 2.0X a través de la cual es posible ver las rutas de instalación en el servidor (Path Disclosure). Tan sólo aclarar que este bug es real, pero sólo surte efecto si en php.ini el valor display_errors está = On (para que muestre los errores). Desde WHK Security (la fuente original y donde se reportó el bug) ofrecen una solución temporal hasta que el equipo de SMF lo solvente en futuras versiones.

Tags: , , , , , , , , , ,

Actualización de PHP

Posted by vlad on mayo 01, 2012
Seguridad Informática

Nueva actualización de PHP, concretamente para las versiones 5.3 y 5.4, en las que se encontraron dos vulnerabilidades, las cuales pueden ser aprovechadas por un posible atacante para usar una inyeccion SQL y saltarse unas determinadas restricciones de seguridad.

En la versión 5.3 el fallo consiste un cambio temporal de la directiva “magic_quotes_gpc” y en ambas (la 5.4 y la 5.3), un script PHP que aceptase múltiples subidas de archivos en una misma petición podría provocar el acceso a directorios de acceso restringido, mediante nombres de archivos creados para tal efecto. Como ya hemos dicho, ambas vulnerabilidades son explotables mediante inyección SQL, con lo que se recomienda su actualización imediata.

Tags: , , , , ,

phpBB 3.1 requerirá PHP 5.3.2

Posted by Liamngls on marzo 10, 2012
[Breves]

imagen logo La futura versión 3.1, de nombre “Ascraeus” del sistema de foros phpBB requerirá una versión de PHP 5.3.2 ó superior. En las versiones 3.0.x el requerimiento mínimo es la versión 4.3.3 aunque la última versión del CMS, la 3.0.10 soporta PHP 5.3

Entre las razones esgrimidas para dar el salto a la última versión de PHP en medio del desarrollo de la nueva versión de phpBB se encuentra, principalmente, la de que la versión 5.2 está descontinuada por el equipo de desarrollo oficial y no recibe actualizaciones desde Julio del año 2010 (aunque en realidad obtuvo una nueva actualización en Enero de 2011, la 5.2.17) además de poder utilizar Symfony que está completamente desarrollado en PHP 5.3

Aún es pronto para preocuparse por esto ya que en la nota oficial afirman que la futura versión sigue en desarrollo y que falta todavía mucho tiempo para que sea necesario actualizar la versión de PHP. Lo cual no quita que siempre que sea posible se utilice la última versión estable.

Tags: , , , ,

Vulnerabilidades severas en phpMyAdmin. Debian Security (DSA-2391-1).

Posted by Dabo on enero 22, 2012
Seguridad Informática

phpMyAdminSe han reportado por parte de Debian dos vulnerabilidades en el gestor de bases de datos phpMyAdmin. Se recomienda su actualización a la mayor brevedad posible debido al impacto de las mismas en el sistema caso de ser explotadas.

La versión “oldstable” (lenny) no está afectada por estos problemas, para la rama actual estable (Squeeze), hay que actualizar phpMyAdmin a la versión 4:3.3.7-7., en la de pruebas “Whezzy” hay que actualizar a la 4:3.4.7.1-1.:

Referencias sobre los bugs (entre ellos un XSS).

In the Debian bugtracking system: Bug 656247.
In Mitre’s CVE dictionary: CVE-2011-1940, CVE-2011-3181, CVE-2011-4107.

Tags: , , , , , , , ,

[Breves] PHP, 25 ejemplos con buenas prácticas en seguridad para SysAdmins

Posted by Dabo on noviembre 24, 2011
Seguridad Informática, [Breves]

PHPDe todos es sabido que una configuración correcta de PHP hablando de servidores web es vital para evitar “sustos” o ataques hacia nuestras máquinas. Si eres un administrador de sistemas o estás interesado en estas cuestiones, os recomendamos leer (en Inglés) estos 25 ejemplos para mejorar la seguridad de instalaciones en las que se ejecute PHP.

Acceso a; “25 PHP Security Best Practices For SysAdmins

Tags: , , , , ,

Fallo de seguridad en PhpMyAdmin

Posted by vlad on noviembre 10, 2011
Seguridad Informática

Se ha descubierto según leemos en Hispasec, una vulnerabilidad en el gestor de bases de datos vía navegador PhpMyAdmin, mediante la cual un atacante remoto podría leer archivos del servidor mediante un fichero XML especialmente creado para tal caso (en la etiqueta “ENTITY” se especifica la ruta al fichero al que se desea tener acceso).

Concretamente el fallo reside en la función “simplexml_load_string” del archivo “libraries/import/xml.php”. Este fallo ha sido ampliamente difundido en la red a través de varias webs, lo que lo hace especialmente peligroso si tenemos en cuenta que de momento no se ha publicado parche que lo corrija.

Hay que aclarar que para que un atacante pudiera comprometer nuestro servidor, ha de poder autenticarse en él, es decir, que se trate de uno de nuestros usuarios. Mas información aquí.

Tags: , , ,

El bug de Agosto que afectaba a WordPress y “TimThumb”, sigue comprometiendo a miles de sitios.

Posted by Dabo on noviembre 03, 2011
Seguridad Informática

Los lectores habituales de Daboweb y otros blogs dedicados a estas cuestiones, ya estaréis al tanto del bug que afectaba a temas y plugins de WordPress con versiones de “Timthumb” vulnerables. Esta herramienta tan utilizada, hace posible la redimensión de imágenes en WP y se reportó una vulnerabilidad que permitía subir cualquier fichero PHP al directorio “cache” de Timthumb, pudiendo ejecutar código y comprometiendo al sitio web afectado.

Hecha esta aclaración, nos hacemos eco de una noticia publicada hoy en “SC Magazine” (ENG), en la que se dan datos acerca de los miles de blogs afectados hasta la fecha, además de recordar que desde hace meses hay una versión de Timthumb corregida.

Como se puede ver, nuevos problemas en viejas vulnerabilidades. Esta es seria y fácil de solventar, os recomendamos revisar vuestras instalaciones de WordPress y reemplazar versiones vulnerables del script caso de haberlas, por otra actualizada (guardadlo en texto plano y renombrarlo como timthumb.php).

Tags: , , , , , , , ,