Daboweb

Server

Actualizaciones de Microsoft julio 2014 (2 críticas)

Posted by Redacción on julio 09, 2014
Sistemas Operativos

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para julio de 2014.

En esta ocasión, tal y como podemos leer en INTECO, se compone de6 boletines de seguridad, clasificados como 2 críticos y 4 importantes, y referentes a múltiples CVEs en Microsoft Windows y Microsoft Internet Explorer..

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista, 7 y 8 instalado y ayuda a eliminarlas.

# Información ampliada y descarga de las actualizaciones (Sitio web de Microsoft).

Tags: , , , , , , , , , , , , , , , , ,

Actualización de seguridad para Mac OS X Server (v2.1.1)

Posted by Dabo on octubre 03, 2012
Seguridad Informática, Sistemas Operativos

Desde la lista de correo “Apple Security“, nos llega el aviso de una actualización de seguridad para OS X Server (v2.1.1).  Esta nueva versión solventa varias vulnerabilidades en PostgresSQL, siendo la de más impacto una que permitiría a usuarios de las bases de datos acceder a ficheros del sistema con privilegios elevados.

También Jabber recibe una actualización para solventar posibles fugas de información en relación con otros servers mejorando la gestión de mensajes. El update está disponible desde el menú “Actualización de Software”. Os recomendamos aplicar las correcciones con brevedad, más info sobre estas cuestiones de seguridad en Apple Security Updates.

Tags: , , , , , ,

[Breves] Mirror comprometido de phpMyAdmin sirvió una versión (3.5.2.2) con una puerta trasera

Posted by Redacción on septiembre 26, 2012
Seguridad Informática, Webmaster

A través de una información publicada en S21sec, ayer pudimos saber que uno de los proyectos con más peso en cuanto a la administración de bases de datos MySQL vía web, tuvo un problema de seguridad que afectó a uno de los “mirrors” desde el que se distribuye phpMyAdmin. En concreto, la web del proyecto informa que la versión afectada fue “3.5.2.2-all-languages.zip“.

La recomendación ante la duda es reinstalar o comprobar si la versión instalada contiene un fichero con el nombre de server_sync.php

Tags: , , , , , ,

Disponible WordPress 3.4.1, actualización de seguridad y mantenimiento

Posted by Dabo on junio 27, 2012
Webmaster

Unos días después del lanzamiento de la versión 3.4 de WordPress con las novedades y mejoras que podéis leer en el enlace anterior, nos llega la 3.4.1, catalogada como actualización de mantenimiento y seguridad.

Concretamente, se han corregido 18 bugs (ENG) sobre la anterior versión y entre otras mejoras, desde WordPress destacan las siguientes:

  • Fixes an issue where a theme’s page templates were sometimes not detected.
  • Addresses problems with some category permalink structures.
  • Better handling for plugins or themes loading JavaScript incorrectly.
  • Adds early support for uploading images on iOS 6 devices.
  • Allows for a technique commonly used by plugins to detect a network-wide activation.
  • Better compatibility with servers running certain versions of PHP (5.2.4, 5.4) or with uncommon setups (safe mode, open_basedir), which had caused warnings or in some cases prevented emails from being sent.

Debido que se trata de una actualización de seguridad, se recomienda actualizar a la mayor brevedad posible, ya que como podemos leer en el anuncio original se solventan temas de importancia (hablando de algunas medidas de seguridad a nivel general, o que afectan a instalaciones “mutisitio” descubiertas y solventadas por el equipo de seguridad de WordPress).

Version 3.4.1 also fixes a few security issues and contains some security hardening. The vulnerabilities included potential information disclosure as well as an bug that affects multisite installs with untrusted users. These issues were discovered and fixed by the WordPress security team.

La actualización ya está disponible tanto desde vuestros paneles de administración o vía este enlace.

(Puedes consultar nuestra guía rápida para actualizar WordPress).

Tags: , , , ,

[Breves] Vulnerabilidad grave en “Apache Traffic Server”.

Posted by Dabo on marzo 26, 2012
Seguridad Básica, [Breves]

Según leemos en H-Online (ENG), se ha reportado un fallo de seguridad catalogado como de impacto alto en “Apache Traffic Server” (CVE-2012-0256).

Dicho bug afecta prácticamente a todas las ramas 2.x y 3.x (incluso las de desarrollo) y se recomienda actualizar a la mayor brevedad posible a la versión 3.0.4 dado que evita tanto ataques de denegación de servicio (DoS) o la ejecución arbitraria de código.

Más información (Apache Server).

Tags: , , , , , , ,

[Breves] Debian 5.0.10 “Lenny” released (última oportunidad para actualizar vuestros servers con “Lenny”).

Posted by Dabo on marzo 11, 2012
Sistemas Operativos, [Breves]

Aún con el anuncio oficial el pasado día 9 de Febrero en el que se daba por cerrado el ciclo de actualizaciones de Debian 5.0x (“Lenny”) y con ello, la situación de inseguridad del sistema en el que se ejecute esta rama de la distribución, Debian demuestra una más vez su compromiso con la comunidad de usuarios liberando (al igual que hizo con “Etch”) la última actualización con el número de “release” 5.0.10.

Tal y como dije en mi primera participación para el Blog de INTECO, estos temas no son menores, aún con la recomendación de actualizar a Debian “Squeeze” (6.x), la actual versión estable, si vuestros servidores están con “Lenny”, no dudéis en parchearlos.

Fuente y más info en DebianHackers.

Tags: , , , , , ,

[Breves] BIND 9.8.1-P1 solventa bug serio en el popular servidor DNS

Posted by Dabo on noviembre 17, 2011
Seguridad Informática, [Breves]

Se ha liberado por parte de la comunidad de desarrolladores de BIND, la versión BIND 9.8.1-P1 que solventa una vulnerabilidad seria que afecta al conocido servidor DNS y que según podemos leer en ISC, resuelve fallos en su funcionamiento a través de ciertas peticiones y el registro o log de errores en “query.c”.

Descarga | lista de cambios.  (También están disponibles los parches en los “sources” de Debian).

Tags: , , , , , , ,

Microsoft publica 13 boletines de seguridad que solventan 22 vulnerabilidades (2 críticas en Internet Explorer y DNS Server)

Posted by Dabo on agosto 10, 2011
Seguridad Informática

Tal y como se lee en el título de la noticia, Microsoft ha puesto a disposición de los usuarios 13 boletines de seguridad que solventan un total de 22 vulnerabilidades en productos como; Internet Explorer, Microsoft .NET Framework, Microsoft Developer Tools, Microsoft Office y Microsoft Windows.

Desde Microsoft, Angela Gunn, obviamente insta a parchear en primer lugar las dos vulnerabilidades catalogadas como críticas y que afectan a Internet Explorer (MS11-057) donde el parche más serio es el que corrige la posibilidad de ejecución remota de código viendo una web especialmente manipulada para tal fin.

La otra afecta a DNS Server (MS11-058), donde el bug más importante que se ha corregido también impide la ejecución remota de código, si un atacante envía una consulta especialmente manipulada “Naming Authority Pointer” (NAPTR) al servidor DNS.

Más información en Microsoft sobre todos los parches y productos afectados.

Tags: , , , , , , , , ,

Htaccess Tools, te ayudará a proteger tu sitio web

Posted by Dabo on octubre 16, 2010
Webmaster

Para hoy Sábado y vía Wwwhat’s New os recomendamos guardar en vuestros marcadores la siguiente url; www.htaccesstools.com. Alguna vez hemos hablado de los ficheros .htaccess y cómo usarlos para aumentar la seguridad de un servidor, web o blog, esta herramienta os ayudará para simplificar los pasos a seguir.

Desde Htaccess Tools podréis generar passwords, hacer redirecciones por lenguaje, bloqueos de IPs maliciosas o definidas por vosotros, reducir el consumo de ancho de banda cuando se usan vuestras imágenes en otras webs (hotlinking), etc.

Todo ello de un modo muy intuitivo y aún estando la información en Inglés, se entiende perfectamente. También cuentan con un foro de ayuda para los temas que tratan en la web.

Tags: , , , , ,

Skipfish, escáner de vulnerabilidades web por Zalewski y Google

Posted by Dabo on marzo 22, 2010
Seguridad Informática

Michael Zalewski, reputado consultor y desarrollador en asuntos de seguridad, ha desarrollado para Google “Skipfish”, un potente y rápido escáner de vulnerabilidades web que sin lugar a dudas dará que hablar. Por lo poco que he podido comprobar desde que lo he instalado, cumple fielmente con casi todo lo que se anuncia en cuanto a fluidez y certeza en los análisis.

Para compilarlo, una vez desempaquetado, sólo necesitarás usar “make” pero te recuerdo que necesitarás instalar la librería libidn primeramente.

Skipfish está escrito intégramente en “C”, se distribuye gratuitamente bajo una Licencia Apache versión 2.0 y está disponible para sistemas GNU/Linux, FreeBSD 7.0+, MacOS X y Windows (Cygwin). Esta herramienta de seguridad cuenta entre otras, con las siguientes funciones hablando de detección de posibles fallos de seguridad;

* Alertas de riesgo alto:

o Server-side SQL injection (including blind vectors, numerical parameters).
o Explicit SQL-like syntax in GET or POST parameters.
o Server-side shell command injection (including blind vectors).
o Server-side XML / XPath injection (including blind vectors).
o Format string vulnerabilities.
o Integer overflow vulnerabilities.

* Alertas de riesgo medio:

o Stored and reflected XSS vectors in document body (minimal JS XSS support present).
o Stored and reflected XSS vectors via HTTP redirects.
o Stored and reflected XSS vectors via HTTP header splitting.
o Directory traversal (including constrained vectors).
o Assorted file POIs (server-side sources, configs, etc).
o Attacker-supplied script and CSS inclusion vectors (stored and reflected).
o External untrusted script and CSS inclusion vectors.
o Mixed content problems on script and CSS resources (optional).
o Incorrect or missing MIME types on renderables.
o Generic MIME types on renderables.
o Incorrect or missing charsets on renderables.
o Conflicting MIME / charset info on renderables.
o Bad caching directives on cookie setting responses.

* Alertas de bajo riesgo:

o Directory listing bypass vectors.
o Redirection to attacker-supplied URLs (stored and reflected).
o Attacker-supplied embedded content (stored and reflected).
o External untrusted embedded content.
o Mixed content on non-scriptable subresources (optional).
o HTTP credentials in URLs.
o Expired or not-yet-valid SSL certificates.
o HTML forms with no XSRF protection.
o Self-signed SSL certificates.
o SSL certificate host name mismatches.
o Bad caching directives on less sensitive content.

* Alertas internas:

o Failed resource fetch attempts.
o Exceeded crawl limits.
o Failed 404 behavior checks.
o IPS filtering detected.
o Unexpected response variations.
o Seemingly misclassified crawl nodes.

* Otros datos de interés:

o General SSL certificate information.
o Significantly changing HTTP cookies.
o Changing Server, Via, or X-… headers.
o New 404 signatures.
o Resources that cannot be accessed.
o Resources requiring HTTP authentication.
o Broken links.
o Server errors.
o All external links not classified otherwise (optional).
o All external e-mails (optional).
o All external URL redirectors (optional).
o Links to unknown protocols.
o Form fields that could not be autocompleted.
o All HTML forms detected.
o Password entry forms (for external brute-force).
o Numerical file names (for external brute-force).
o User-supplied links otherwise rendered on a page.
o Incorrect or missing MIME type on less significant content.
o Generic MIME type on less significant content.
o Incorrect or missing charset on less significant content.
o Conflicting MIME / charset information on less significant content.
o OGNL-like parameter passing conventions.

Página de Skipfish en Google Code
| Más info | Fuente (ENG).

Tags: , , , , , , , , ,