Daboweb | Seguridad y ayuda informática |

Se ha descubierto según leemos en Hispasec, una vulnerabilidad en el gestor de bases de datos vía navegador PhpMyAdmin, mediante la cual un atacante remoto podría leer archivos del servidor mediante un fichero XML especialmente creado para tal caso (en la etiqueta «ENTITY» se especifica la ruta al fichero al que se desea tener acceso).

Concretamente el fallo reside en la función «simplexml_load_string» del archivo «libraries/import/xml.php». Este fallo ha sido ampliamente difundido en la red a través de varias webs, lo que lo hace especialmente peligroso si tenemos en cuenta que de momento no se ha publicado parche que lo corrija.

Hay que aclarar que para que un atacante pudiera comprometer nuestro servidor, ha de poder autenticarse en él, es decir, que se trate de uno de nuestros usuarios. Mas información aquí.

Los lectores habituales de Daboweb y otros blogs dedicados a estas cuestiones, ya estaréis al tanto del bug que afectaba a temas y plugins de WordPress con versiones de «Timthumb» vulnerables. Esta herramienta tan utilizada, hace posible la redimensión de imágenes en WP y se reportó una vulnerabilidad que permitía subir cualquier fichero PHP al directorio «cache» de Timthumb, pudiendo ejecutar código y comprometiendo al sitio web afectado.

Hecha esta aclaración, nos hacemos eco de una noticia publicada hoy en «SC Magazine» (ENG), en la que se dan datos acerca de los miles de blogs afectados hasta la fecha, además de recordar que desde hace meses hay una versión de Timthumb corregida.

Como se puede ver, nuevos problemas en viejas vulnerabilidades. Esta es seria y fácil de solventar, os recomendamos revisar vuestras instalaciones de WordPress y reemplazar versiones vulnerables del script caso de haberlas, por otra actualizada (guardadlo en texto plano y renombrarlo como timthumb.php).

El equipo de desarrollo de Coppermine ha publicado una actualización de su sistema de galerías (versión 1.5.16) que viene a solventar una vulnerabilidad catalogada como «seria» para la integridad del CMS (Gestor de contenidos).

El bug afecta a la posibilidad de registrarse y acceder a la parte administrativa de las galerías con privilegios de administrador, de ahí que digan; «de obligatoria actualización«. Además de este fallo, se han añadido 4 mejoras en otros aspectos de Coppermine.

La info original y cambios (ENG) | Link a la descarga | Tutorial actualización Coppermine.

Así empieza el anuncio original del lanzamiento de WordPress 3.2; Are You Ready for WordPress 3.2? Quizás ese «¿y tu servidor web? debería ir en el título, los requisitos mínimos han cambiado y debes saber que la versión 3.2 pide que se ejecute PHP 5.2.4 y MySQL 5.0.

Si tu plan de alojamiento no cumple esos mínimos, no te saldrá el aviso de actualización en tu tablero o panel de administración, si vas a «actualizaciones» verás el aviso de que no se cumplen las características anteriormente comentadas.

Este detalle de los requisitos, no es algo para no tener en cuenta, ya que si bien en la mayoría de los casos con MySQL no habrá tanto problema al estar la mayoría con 5.0x, hay servidores que no están con PHP 5.2.4 o superior (ya hay usuarios comentando este hecho) aunque a «fuerza» de demandarlo, las empresas de hosting que alojan entre muchos otros CMS (gestores de contenidos) WordPress, por su propio interés irán poniendo al día PHP y MySQL aunque quizás no hablemos ni de un 5% de los casos.

Hablando de requerimientos, comentan que dejan de dar soporte a Internet Explorer 6, un navegador ya con 10 años de vida y ampliamente superado por nuevas versiones y si tu navegador es antiguado te saldrá un mensaje en el panel de admin (dicen que eso sí, amigable;) «amarillo anaranjado» indicando que hay una versión más reciente del mismo. De todos modos, se entiende que además lo harán con versiones obsoletas de navegadores como Firefox, Chrome o Safari.

¿Novedades más destacadas?

El editor TinyMCE se ha hecho más «2.0», ahora es más moderno y se puede combinar la vista habitual con otra más minimalista y que no distrae tanto cuando escribes (a Matt, creador de WordPress es una de las novedades que más le gustan, la visión «zen» con un click).

El panel de administración también ha tenido un nuevo rediseño y ahora es también más rápido cuando se accede, hablando de velocidad, es un punto en el que comentan que han trabajado a fondo (es cierto que se ve todo más fluido según he podido comprobar).

El tema por defecto, Twenty Eleven, todo bajo HTML5 y la verdad con muy buena pinta además de con variadas opciones de configuración. También habrá mejoras visibles en las actualizaciones, los enlaces internos vía el editor HTML, etc.

Hay que tener en cuenta que quizás en este momento no todos los plugins que estás usando puedan hacerlo bajo la versión 3.2 pero los más populares ya están preparados y el resto se entiende que estos días irán actualizándose.

Podéis actualizar vía vuestro panel de admin o desde la página de descargas de WordPress.

Desde el sitio web de WordPress anuncian el fín del soporte para PHP 4 y MySQL 4. Con datos en la mano la gente de WordPress estima que es el momento de pasar a versiones superiores ya que otros CMS como Drupal o Joomla! corren sobre estas y los vendedores de alojamiento migrarán completamente en breve, los que no lo hagan se pueden encontrar con el problema de que los clientes que usen WordPress para sus blog no puedan instalar las futuras versiones así que como bien dicen habrá que ponerse las pilas para mantener el negocio funcionando.

Con motivo de este brusco cambio recomiendan la instalación y ejecución de un plugin que confirmará si nuestro alojamiento está preparado para correr  WordPress 3.2 (la versión que implementará ambas novedades) y, más adelante, nos dará información útil sobre el mismo, desde la web oficial recomiendan tenerlo como imprescindible de cara al futuro a medio/largo plazo.

Según los datos facilitados sólo un 11% de las instalaciones de WordPress corren en una versión inferior a PHP 5.2 mientras que sólo un 6% lo hace en MySQL 4; por estos motivos WordPress 3.1, prevista para finales de este año,  será la última actualización que soporte ambas versiones de PHP y MySQL y la versión 3.2 (primer semestre de 2011) ya será completamente funcional bajo PHP 5.2 (o superior) y MySQL 5.0.15 (o superior).

Os mantendremos informados sobre estos puntos convenientemente.Lee la noticia original (en inglés).

Sí, el título más bien parece un titular, pero quizás de este modo, esperes a que a lo largo de este día 27, tal y como comentan en el anuncio oficial de Joomla (un más que completo gestor de contenidos) aparezca la versión 1.5.17.

El pasado día 23 se anunciaba el lanzamiento tras 6 meses de espera de la versión 1.5.16, acto seguido, se reportaron 2 graves bugs si esa instalación iba bajo versiones de PHP anteriores a la 5.2, o con la opción del parámetro «Session Handler» con valor «none» en la configuración global de PHP.

De modo que si no has migrado de la 1.5.15 a la 1.5.16, no lo hagas y espera al lanzamiento de la aunciada versión 1.5.17 que a lo más tardar será mañana.

Como bien comenta su autor en la introducción de este tutorial de HowToForge que os recomendamos hoy, está claro que hay otras alternativas al excelente servidor web Apache, en algunos casos, más ligeras con el consumo de recursos (memoria básicamente) como sucede con el servidor web multiplataforma con licencia BSD Nginx (otra alternativa sería lighthttpd).

Además, como podréis leer, el proceso de instalación y puesta en funcionamiento es muy sencillo, siendo en este caso válido para dos distros de GNU/Linux tan populares como Ubuntu y Debian (en la que hay sólo una pequeña diferencia), aunque en otras distros será muy parecido también, dependiendo de que sistema de instalación o manejo de paquetes tenga.

Esta guía de instalación de Nginx con PHP 5.3 y PHP-fpm, está escrita en Inglés, pero cualquier usuario que esté acostumbrado a estas prácticas, no tendrá ningún problema para ponerlo en marcha. Se entiende que en ambos casos, hay instalada una versión estable y funcional de Ubuntu o Debian.

Acceso a; Servidor web Nginx + PHP 5.3 + PHP-fpm en Ubuntu/Debian (ENG)

Si eres de los que una vez instalada la última versión de WordPress (2.9) tal y como os informamos hace unos días, estás teniendo problemas con la versión 2.9, ve pensando en aplicar esta solución que nos proponen desde WordPress.

Hablamos de trackbacks o pingbacks que no llegan, entradas programadas que no se publican, etc, estos problemas se solucionan con la instalación de WordPress 2.9.1 Beta.

Se corrigen además otros fallos en el funcionamiento normal del CMS, por lo que si eres uno de los afectados, no dudes en instalar esta versión. Más información en WordPress Blog. (ENG).

Aclarar que no recomendaríamos de este modo instalar una versión Beta (no final) si no fuera porque el propio equipo de desarrollo así lo hace.

Os reseño además nuestra guía rápida para actualizar WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Se ha reportado por parte de jcarlosn desde «desvaríos informáticos» un grave fallo de seguridad que afecta WordPress 2.8.4 y anteriores.

Este bug puede llevar a la caída del servidor web que lo aloje al no poder tramitar correctamente las peticiones y aumentar el uso de CPU y memoria hasta hacerlo caer.

Solución al fallo;

1º) Buscad en «wp-trackback.php» (línea 45);

$charset = $_POST['charset'];

2º) Sustituid por;

$charset = str_replace(",","",$_POST['charset']);
if(is_array($charset)) { exit; }

El autor ha publicado también un exploit a modo de prueba de concepto y tal y como he comentado en mi blog, el bug es tal y como lo describe y la seriedad de dicho fallo también. Os recomendamos por lo tanto parchear lo antes posible vuestros blogs con la solución que propone el autor (que como también he comprobado, lo solventa).

Por David Hernández (Dabo).

Desde hace varios días cantidad de foros que usan SMF como gestor de contenidos están sufriendo ataques y siendo infectados  mediante una inyección de código php a través de la carpeta de avatares de los usuarios.

El usuario malicioso, mal llamado hacker, usa comunmente el nick Krisbarteo, aunque podría usar otros como Boommurne o alguno de los de esta lista.

Lo que hace, básicamente, es subir un avatar en formato .jpg que contiene un código php que crea en el servidor tres archivos (style.css.php, s.php y dg.php) para luego añadir a todos los archivos php del servidor un código codificado en base64; no se sabe el alcance real del ataque pero se presupone que en principio sea usado para hacer spam.

¿Cómo sé si estoy infectado?

La desaparición de avatares en el foro es el síntoma más claro, también se puede revisar el log de errores del foro y buscar el siguiente mensaje: 8: Undefined index: dhhag.

¿Cómo me desinfecto?

La reinstalación de una copia de seguridad completa es el proceso más rápido y efectivo, por eso nunca nos cansaremos de recordar la importancia de tener copias de seguridad periódicas y en buen estado.

Para la opción larga y tediosa dejo un enlace abajo.

No estoy infectado, ¿cómo evito que me suceda?

Desde el panel de admnistración del foro vamos a Archivos adjuntos y avatares, Configuración de avatares y escogemos la opción Negar para la subida de avatares a los usuarios nuevos; recordar que se pueden crear grupos de usuarios por mensajes y que esta opción es precisamente útil para casos como este. Cerrar el registro u obligar a la activación por parte de un administrador es otra opción, bastante más radical e innecesaria.

Vía: Nimiedad (con explicación para desinfección paso a paso).

Discusión en foros SMF (Inglés).

Desde phpt.net anuncian la disponibilidad de la versión 5.2.9 que viene a solventar unas 50 vulnerabilidades encontradas en la rama 5.2.x.

Algunas de ellas están catalogadas como «severas», por lo que conviene actualizar a la mayor brevedad posible tal y como informan en el anuncio de la release.

Los fallos más notables solucionados son los siguientes;

• Fixed security issue in imagerotate(), background colour isn’t validated correctly with a non truecolour image. Reported by Hamid Ebadi, APA Laboratory (Fixes CVE-2008-5498). (Scott)
• Fixed a crash on extract in zip when files or directories entry names contain a relative path. (Pierre)
• Fixed explode() behavior with empty string to respect negative limit. (Shire)
• Fixed a segfault when malformed string is passed to json_decode(). (Scott)

Toda la lista de cambios | Sección de descargas.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

phpBB, el sistema de foros por excelencia, anuncia una actualización en la rama 3.0.x, (recordar que la 2.0.x está sin desarrollo y en Enero será retirada oficialmente) que solventa algunos errores corrige un par de fallos de seguridad e incorpora algunas novedades.

Este lanzamiento además coincide con el aniversario de la publicación de la versión 3, más conocida como Olympus, el pasado 13 de Diciembre del 2007.

Es importante actualizar a la nueva versión porque uno de los fallos de seguridad corregidos tienen que ver con las contraseñas.  Más información en el anuncio oficial en inglés.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.