Se ha liberado por parte del equipo de SMF una nueva versión de su sistema de foros Open Source bajo la versión 2.0.14. Esta nueva entrega aporta mejoras en seguridad y en su funcionamiento en general.

• Added PHP 7 support.
• Ported image proxy support from SMF 2.1.
• Also added HTTPS for avatars.
• Accept email addresses with long TLDs.

Anuncio original | lista de cambios

La versión 4.8 de WordPress, llamada “Evans” en honor al pianista de jazz y compositor Bill Evans, está disponible para su descarga o actualización desde el panel de administrador de WordPress.

Esta nueva versión incorpora bastantes novedades, entre ellas una nueva sección en el panel de administración con información sobre eventos relacionados.

Se puede ver una lista completa de novedades en la correspondiente página del codex.

Noticia en WordPress. Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Hasta ahora, en los artículos publicados sobre análisis de tráfico de red, hemos visto muchos tipos de herramientas y pequeñas utilidades para crear, interpretar, analizar, graficar, etc, tráfico de red a partir de un archivo pcap. Pero en esta ocasión vamos a ver una muy especial; porque se trata de crear / simular trafico de a partir de un archivo, por ejemplo un archivo .pdf. Con la idea de estudiar el tráfico, simular vulnerabilidades, crear reglas Snort / Suricata o estudiar su comportamiento analizando offline con algún IDS como los nombrados más arriba.

Esta herramienta de Cisco’s Talos Intelligence Group, simula el tráfico involucrando el archivo que indiquemos en en la generación del pcap.

Leer más…

Sí, hoy es ese día, el de los 15 años. Para quien lo escribe, más tiempo quizá del que es consciente; y es que parece que fue ayer cuando tras registrar un par de dominios de los que no me quiero acordar (qué sabía yo;) al final decidí que “Daboweb” estaría bien.

Esto empezó como un proyecto personal, era otra Internet y hoy en día me doy cuenta que no pensábamos mucho en lo que estábamos haciendo, simplemente lo hacíamos.

Y de una forma natural, fue llegando más gente y ese proyecto fue creciendo hasta hacerse tan mayor como lo es hoy en día.

Sí, porque hoy cumplimos 15 años. Unos años en los que hemos vivido casi de todo a nivel técnico y personal, en la época dorada de los foros (como siempre digo, nuestro foro siempre fue el corazón que nos impulsó) donde todo era muy nuevo e intentábamos gestionar una Comunidad de usuarios con lo que ello conlleva y donde hoy en día vemos más de 200.000 mensajes, le podemos sumar otros tantos que habremos borrado, pero sobre todo, un lugar en el que muchos hemos crecido en lo personal y lo informático.

Para luego pasar a otra etapa, la de la explosión de las Redes Sociales, los blogs y otros movimientos donde los usuarios empezaron a autogestionar sus contenidos sin mediadores como podía ser mi caso o el de otros administradores, pero también a una etapa en la que mucha gente que había estado colaborando y participando activamente aquí o moderando algún foro, inició proyectos personales y profesionales con mucho éxito.

Hoy no es día de enumerar, ya que con tantos años se quedaría mucha gente injustamente en el tintero, pero sí es día de daros las gracias de todo corazón a cada uno de los que de una forma u otra habéis aportado vuestro granito de arena en pro de ayudar a los demás que es lo que siempre hemos intentado desde el minuto 1 en el que daboweb.com estuvo en línea.

Nos hemos enfrentado a muchas amenazas y no sólo a las electrónicas en forma de diferentes tipos de Malware, también a las que se han cernido desde hace años sobre la propia Libertad de Internet, hemos bebido de muchas otras fuentes y hemos hecho de “altavoz” sobre cuestiones de seguridad que a nuestro modo de ver eran relevantes, pero sí, 15 años lo son también como para que nosotros, que nunca hemos movido por intereses económicos, ahora estemos más relajados.

Pero ojo ! relajados no quiere decir que inactivos, aquí estamos y espero que estemos dentro de 5 años más porque espero celebrar con todos y todas los 20 años online.

No suelo hablar a título personal aquí y os pido que tengáis en cuenta la fecha, no es una frase hecha a pesar de que la repita, esto es un proyecto que sólo ha sido, será y sería posible gracias al apoyo constante y totalmente desinteresado de quienes están trabajando codo a codo conmigo desde el año 2002. Incluso, mi blog personal y otros proyectos en los que me he metido después, no hubiesen visto la luz sin haber tenido el respaldo de personas que para algunos serán nicks, pero que para mi son parte de mi familia.

Revisando correos antiguos, acabo de rescatar el del registro de la web, cuando empezó todo :).

Como dice la tarjeta que como siempre y llena de cariño nos prepara nuestra compañera Danae, ¡¡¡ Muchas felicidades !!!

El equipo de WordPress acaba de liberar la versión 4.7.5 como versión de mantenimiento y seguridad y hablando de las mejoras en seguridad para el CMS, se han solventado 6 fallos en versiones 4.7.4 y anteriores:

1. Insufficient redirect validation in the HTTP class. Reported by Ronni Skansing.

2. Improper handling of post meta data values in the XML-RPC API. Reported by Sam Thomas.

3. Lack of capability checks for post meta data in the XML-RPC API. Reported by Ben Bidner of the WordPress Security Team.

4. A Cross Site Request Forgery (CRSF)  vulnerability was discovered in the filesystem credentials dialog. Reported by Yorick Koster.

5. A cross-site scripting (XSS) vulnerability was discovered when attempting to upload very large files. Reported by Ronni Skansing.

6. A cross-site scripting (XSS) vulnerability was discovered related to the Customizer. Reported by Weston Ruter of the WordPress Security Team.

Debido al impacto de los fallos resueltos, recomendamos actualizar a la mayor brevedad posible caso de que no se hayan podido aplicar los parches de forma automática con la “auto-actualización” al tratarse de una versión de seguridad. Anuncio original.

Como todos nuestros lectores sabéis, hoy está siendo un viernes negro a nivel mundial hablando de infecciones por el Ransomware WannaCray. Podéis leer este boletín informativo de Incibe para comprender mejor el alcance.

En el mes de marzo, Microsoft ya publicó un parche que solventa esta vulnerabilidad (MS17-010), podéis descargarlo e instalarlo desde este enlace.

Actualización 13/05/2017. Añadimos el parche de Microsoft acaba de liberar de forma urgente para versiones desatendidas de Winows (XP, Windows Vista, Windows 8, 2003 Server y 2008 Server)

Añadimos esta herramienta de Teléfonica (18/05/2017) para recuperar ficheros afectados por WannaCray.

También os informamos que la herramienta gratuita Anti Ranson creada por Yago Jesús detecta y bloquea el ataque perfectamente por lo que os recomendamos instalarla de inmediato en sistemas Windows.

El próximo miércoles 10 de mayo tendrá lugar el ESET Security Day 2017. El evento se celebrará en Bilbao y la asistencia es gratuita previo registro.

Entre otros ponentes, estará nuestro compañero Dabo hablando de tipos de servidores y los problemas a los que se enfrenta una empresa cuando externaliza sus servicios de Hosting:

Registro y más información en la web del evento.

Oracle ha liberado para sus clientes una nueva actualización de seguridad de varios de sus productos. Estas actualizaciones de Abril 2017, es una de las cuatro previstas para este año, vienen a solventar múltiples vulnerabilidades (300) encontradas hasta la fecha en diferentes productos de la compañía:

Oracle Database, Oracle Application Server, Oracle Secure Backup, Oracle E-Business Suite, Oracle Java SE, Solaris, Oracle VM VirtualBox, Oracle Financial Services Analytical Applications Infrastructure, etc.

Desde la empresa recomiendan parchear lo antes posible las diferentes versiones afectadas, ya que el aprovechamiento de esos fallos por parte de usuarios malintencionados podría comprometer seriamente la integridad del sistema.

Más información y descarga de actualizaciones.

Nueva actualización para WordPress, la 4.7.4 con consideración de versión de mantenimiento que corrige varios errores de las versiones previas. A pesar de no incluir correcciones de seguridad se recomienda tener el blog actualizado siempre ya que las mejores, correcciones y novedades mejoran la experiencia de usuario.

Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Info en el trac de WordPress, lista de cambios.

Fuente original.

Se encuentra disponible la píldora formativa 45 del proyecto Thoth, con el título “¿Cómo funciona el hash SHA-1?”

Conforme podemos leer en su web, las siglas SHA corresponden a Algoritmo de Hash Seguro, un algoritmo de resumen propuesto por la NSA y adoptado como estándar federal por el NIST en 1993. Antes de los dos años se detectan vulnerabilidades, por lo que en 1995 proponen un nuevo algoritmo conocido como SHA-1, pasando el anterior a denominarse SHA-0 y no recomendarse su uso. Aunque el diseño de SHA-1 es muy similar al de MD5, entregará un resumen de 160 bits en vez de los 128 de MD5 y su fortaleza es también mayor.

Puede acceder a la documentación en pdf, el podcast en mp3 y los vídeos de estas píldoras y de todas las anteriores, desde la página web del proyecto Thoth:
http://www.criptored.upm.es/thoth/index.php