Nueva actualización de seguridad para WordPress, la nueva versión 3.1.3 que mejora la seguridad con aportaciones de Alexander Concha (buayacorp).

Incluye diferentes mejoras y soluciona problemas de seguridad que podemos ver en el changelog. Además se ha anunciado también el lanzamiento del segunda beta de WordPress 3.2, una versión de pruebas que no debemos poner en un sitio en producción.

Como toda actualización de seguridad es importante y muy conveniente actualizar a la mayor brevedad posible.

Entre las mejoras no explicadas detalladamente en el anuncio oficial tenemos las siguientes:

• La vulnerabilidad SA44409 fue corregida por el changeset 18014. Esto autorizaba a subir archivos que permitían la ejecución de código php, siempre y cuando la configuración de Apache permita aceptar múltiples extensiones. Esto es una variante de un falla anterior.
• El changeset 18018 corrige uno de los varios problemas que reporté, en principio permitía al igual que el anterior, la ejecución de código php, con la diferencia de que no es necesario ningún tipo de configuración en especial. Tal vez dentro de un tiempo llegue a publicar el exploit que hice. También corrige fallas que permitían realizar ataques XSS.
• El changeset 18019 corrige problemas que permiten realizar ataques XSS.
• El changeset 18023 está relacionado con un problema relacionado a la privacidad de los backups de wordpress.

Vía: buayacorp.

Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Noticia en WordPress.org | Descarga.

Compartir

Primera actualización disponible para la versión 3.1 de WordPress. Esta actualización corrige varios problemas de seguridad, 4 de prioridad alta, 20 de prioridad normal y 2 de prioridad baja.

Además corrige 3 problemas de seguridad detectados por dos de los principales de desarrollo de WordPress, concretamente del equipo de seguridad que afectan a una vulnerabilidad XSS, un problema relacionado con los enlaces publicados en comentarios directamente relacionado con PHP y un problema CSRF.

Entre las mejoras aportadas encontramos las siguientes:

• Mejora la seguridad en la carga de imágenes
• Mejoras de rendimiento
• Mejora el soporte de  IIS6
• Soluciona los enlaces de taxonomías y PATHINFO (/index.php/), enlaces permanentes (permalinks).
• Soluciona varios problemas en que consultas a la base de datos y taxonomías podrían provocar problemas de compatibilidad con plugins.

Imprescindible actualizar. Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Noticia en WordPress.org | Descarga.

Compartir

Publicada una nueva actualización del gestor de contenidos Joomla!, la versión 1.6.1 viene a corregir 210 problemas del sistema de subversiones y 12 cuestiones de seguridad, 10 de ellas catalogadas como de prioridad moderada y las dos restantes de prioridad baja.

Es importante actualizar ya que son muchas las correciones de esta nueva actualización.

Esta vez, a diferencia del lanzamiento de la versión 1.6, no hay queja sobre la información, en el propio anuncio oficial está la información necesaria con los enlaces correspondientes sobre las vulnerabilidades corregidas y los tickets cerrados.

Anuncio oficial. Descarga completa. Actualización.

Compartir

Ha sido liberada la versión 1.5.22 bajo el nombre “senu takaa ama woi” considerada de seguridad y con la recomendación de actualizar inmediatamente.

Es un problema de inyección SQL, calificado como de prioridad baja que afecta a todas las versiones de la rama 1.5.x incluida la 1.5.21

Anuncio oficial | Info sobre el XSS

Compartir

El equipo de desarrollo de Joomla acaba de anunciar la inmediata disponibilidad de la versión 1.5.21 liberada con el nombre “senu takaa ama wepulai” que solventa una vulnerabilidad XSS reportada por YGN Ethical Hacker Group.

Dado que es una actualización de seguridad, se recomienda desde Joomla actualizar el software a la mayor brevedad posible para paliar este bug, que afecta a todas las versiones 1.5.x incluyendo la 1.5.20..

Anuncio oficial | Info sobre el XSS

Compartir

El equipo de seguridad de Joomla ha anunciado la inmediata disponibilidad de la versión de seguridad 1.5.18 que corrige una seria vulnerabilidad XSS afectando a la versión 1.5.7 y todas las anteriores de la rama 1.5x.

Caso de ser explotado, el bug puede llevar a la inyección de código Javascript por parte de un usuario sin privilegios en el “Back-end” (panel de usuario) hacia la pantalla o sesión de un administrador con las fatales consecuencias que puede tener para el CMS. Ha sido reportada por Riyaz Ahemed y se recomienda actualizar a la mayor brevedad posible.

Más información en el anuncio oficial | Sobre el XSS.

Compartir

Ha sido reportada por Ryan Giobbi una vulnerabilidad explotable tanto local como remotamente en Webmin y Usermin. Según nos informan desde Webmin, El bug se explota mediante un ataque por usuarios no autorizados contra la cookie de una sesión de un usuario con acceso a Webmin y podría permitir conectarse a su interfaz web sin introducir el password.

Aunque ciertamente no es fácil explotar este bug, os aconsejamos actualizar lo antes posible Webmin junto a Usermin dado que se trata de un software para controlar un servidor web con las consecuencias que un hecho así podría traer.

Las versiones afectadas son;

Webmin versiones anteriores a la 1.500.
Usermin versiones anteriores a 1.430.

La solución pasa por instalar;

Webmin  1.500 y Usermin 1.430.

Compartir