Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.5.1 y que solventa 37 bugs respecto a la entrega anterior (3.5). Además, podemos encontrar mejoras en el editor, librería multimedia, posts programados, API, etc.

Respecto a cuestiones de seguridad, se ha solventado una de la que ya nos hicimos eco relativa a escaneos de puertos y pingbacks que afecta a todas las versiones anteriores, además de tres XSS de diferente impacto (rel: “shortcodes”, contenido de los post y la librería externa “Plupload”).

La actualización está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

Tal y como podemos leer en Ayuda WordPress, se ha reportado una vulnerabilidad XSS explotable a través del plugin Jetpack para WordPress. Comprobad si se está ejecutando desde el navegador a través de tusitio.com/wp-content/plugins/jetpack/modules/custom-css/csstidy/css_optimiser.php.

En la fuente original se menciona un XSS en CSSTidy (css_optimiser.php) y se puede ver que data de julio de 2010...

Dicho fichero (más info en el trac) ha sido ya eliminado (borradlo en vuestro blog) el plugin funciona sin problemas.

Mozilla ha lanzado una nueva actualización de su navegador Firefox, la versión 16.0.2, que solventa un problema de seguridad de tipo XSS (entre otros problemas), consistente en que los datos de url’s contenidas en el objeto window.location podría ser ofuscados y en combinación con algunos plugins lanzar el ataque de cross-site scripting contra el usuario.

Info completa (en inglés). Lista completa de errores corregidos.

Recomendamos a todos los usuarios actualizar a la mayor brevedad posible a esta nueva versión. Bien desde el actualizador automático o desde el sitio de descargas de Firefox.

Según podemos leer en el sitio web de Joomla, se acaba de liberar una nueva versión (2.5.7) del popular CMS. Esta release viene a solventar dos vulnerabilidades, (en el “core” del CMS, en concreto dos XSS, [20120901] – [20120902], así como otros fallos localizados en el software.

A pesar de que están catalogados como “de prioridad baja”, se recomienda actualizar a la mayor brevedad posible.

Coincidiendo con el lanzamiento de la nueva versión de Mac OS X 10.8 “Mountain Lion” (disponible por 15,99 €), nos llega desde la lista de correo de “Apple Security” el aviso de actualización de Safari 6.0 para Lion y Lion Server (10.7.4).

Esta versión solventa múltiples vulnerabilidades (XSS, función de autocompletar, ejecución arbitraria de código, etc) por lo que es más que recomendable su descarga desde el menú “Actualización de software”.

Acaba de liberarse la versión 3.2.2 de WordPress catalogada como “actualización de seguridad”. Según podemos leer en el anuncio de la release, se han solventado varios fallos de seguridad en 3 librerías externas: “Plupload”, “SWFUpload”, “SWFObject,”, así como una escalada de privilegios y dos XSS.

Esta actualización está disponible desde vuestro panel de administración así como desde WordPress.org.

Según podemos leer en H-Online, (ENG) el equipo de Opera ha liberado la versión 11.61 de su navegador web. Se han solventado dos vulnerabilidades, siendo una de ellas catalogada de un impacto crítico para el sistema.

Concretamente, un XSS (Cross-site scripting), puede hacer que un atacante pueda traspasar las políticas original de seguridad del software, comprometiendo su integridad. El segundo fallo, catalogado como “leve”, puede hacer que páginas remotas detecten ficheros locales en el sistema del usuario. Hay acualizaciones para Windows, Mac OS X, GNU/Linux, FreeBSD y Solaris. Descargas.

Se han reportado por parte de Debian dos vulnerabilidades en el gestor de bases de datos phpMyAdmin. Se recomienda su actualización a la mayor brevedad posible debido al impacto de las mismas en el sistema caso de ser explotadas.

La versión “oldstable” (lenny) no está afectada por estos problemas, para la rama actual estable (Squeeze), hay que actualizar phpMyAdmin a la versión 4:3.3.7-7., en la de pruebas “Whezzy” hay que actualizar a la 4:3.4.7.1-1.:

Referencias sobre los bugs (entre ellos un XSS).

In the Debian bugtracking system: Bug 656247.
In Mitre’s CVE dictionary: CVE-2011-1940, CVE-2011-3181, CVE-2011-4107.