Daboweb

Archive for Febrero, 2009

Drupal, actualizaciones de seguridad, versiones 6.10 y 5.16

Posted by Liamngls on Febrero 26, 2009
Webmaster

Nuevas versiones para el popular, y potente, gestor de contenidos (CMS), Drupal.

Estas nuevas versiones no incluyen ninguna novedad y han sido lanzadas con la única finalidad de corregir problemas de seguridad calificados como críticos.

La actualización es altamente recomendada y es necesario correr el archivo update.php después de hacerlo para refrescar la caché del menú y cualquier otro tipo de caché existente en el sistema; la actualización no afecta a los archivos .htaccess y robots.txt (cualquier actualización sobre estos tendría que ser posterior y a mano) ni a los archivos settings.php (por defecto).

Existe un parche para las versiones anteriores a esta nueva actualización, la 6.9 y la 5.15 (el parche no es válido para versiones anteriores a estas).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Tags: , , , , , , ,

Servicios web y ataques a las cuenta de usuario ¿tanto cuesta avisar?

Posted by Dabo on Febrero 22, 2009
Seguridad Informática

Esta entrada viene a raíz del robo de cuentas sufrido por Christian Van Der Henst, administrador de Maestros del web y Foros del web, caso felizmente resuelto y del que nos hicimos eco en Daboweb, (No hay de que -;) al igual que desde muchos otros blogs y comunidades.

Hace unos días, en una conversación vía Skype con Kids de Blogoff, cuando el se encontraba preparando su podcast de rabiosa actualidad con Christian como protagonista (os lo recomiendo), yo le decía que no acaba de entender el por qué de no avisar al usuario de cuando su cuenta (de correo, panel web, facebook, twitter, etc, etc como le sucedió a Christian) estaba siendo víctima de un ataque o cuando se cambia una contraseña.

Por ataque me pueden servir los que se realizan por fuerza bruta (intentos masivos de crackeo/adivinación de la contraseña del usuario) o de otro modo, con la peligrosa opción de “olvidé mi contraseña” y la consiguiente pregunta para recuperarla, uno de los males de la seguridad más explotados y que siguen dando sus devastadores frutos todos los días por ataques de ingeniería social (a través del conocimiento de los usos, costumbres y detalles personales de la víctima)

Está claro que la responsabilidad final de la seguridad de un servicio ofrecido vía web es principalmente del usuario, (sobre este punto habría mucho que “puntualizar” llegado el caso) pero estaréis de acuerdo conmigo en que no cuesta nada que por parte del prestador del servicio faciliten las cosas. Un caso que técnicamente cuesta bien poco implementar pero muy efectivo y que ha sido aplaudido por todos, es la política de Gmail de mostrar en el pie de página la dirección IP de la última conexión al correo, tan sencillo como leerlo de logs de acceso y meter el “refer” al final de la página ¿coste? cero.

Lo que me cuesta más entender es que en muchos de esos servicios (gmail o hotmail por ejemplo), te inviten a dejar una dirección de correo secundaria en tu perfil y no se valgan de esa segunda dirección para enviar un aviso en el caso de que estén intentando reventarte la cuenta legítima, porque cuesta lo mismo impedir el acceso de forma temporal caso de hotmail a la recuperación de una cuenta tras varios intentos fallidos que leer en la base de datos esos intentos y llegado a un número enviar un mail avisando.

Muchas veces hemos hablado de las contraseñas seguras y su importancia,(lo escribí hace 4 años) del uso de programas como Keepass o Colossus,  de como trabajar de forma remota con seguridad, también de no usar una sola cuenta o la principal y pública para administrar sitios web, información sensible, etc, etc, pero creo que también es momento de compartir la responsabilidad con el usuario del aseguramiento de una cuenta ya que el coste es mínimo y para ese usuario, un mail que incluya la IP desde la que se produjo el error de acceso, vital en esos momentos en los que se está llevando a cabo el ataque y a posteriori para depurar responsabilidades.

Muchos de esos servicios no deberían preocuparse sólo por sus anunciantes, monopolios, cuotas de mercado e impresiones de página, sino también por esos usuarios que son los que se tragan sus cookies, publicidad en ocasiones abusiva y condiciones de uso (y desuso).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Por David Hernández (Dabo).

Tags: , , , , , , ,

Windows 7 por fuera, Windows Vista por dentro ¿versión o revisión? Nuestro repaso a “7”.

Posted by Obiw on Febrero 17, 2009
Sistemas Operativos

Nota del editor (Dabo). Esta era una reseña o “review” (como se dice ahora-;) creo que más que necesaria para nuestros fieles lectores, después del fracaso conocido por todos de Windows Vista, Microsoft no se ha quedado quieto y ha querido poner las cosas en su sitio con el futuro Windows 7.

En este repaso a fondo que le da nuestro recién estrenado redactor, Alejandro Herrero, también conocido por el nick de “Obiw” a la beta (recordamos, no es una versión definitiva) de Windows 7, da las pistas adecuadas para comprobar lo que podemos esperar de Windows 7 cuando sea liberado como una versión final y también, el autor, nos muestra las diferencias de Windows 7 con su antecesor, Vista. Sin más, os dejamos con el excelente artículo de Alejandro Herrero acompañado además de las capturas de dos vídeos. (Enhorabuena Obiw-;).

Windows 7 por fuera, Windows Vista por dentro ¿versión o revisión?

Introducción

Haremos un repaso por la nueva “versión” de Windows. Bajo el codename “7” llegará el sustituto de Windows Vista a finales de este 2009. Apenas tres años después Windows Vista tiene sustituto. ¿Por qué? ¿Será que los miles de hoax sobre lo malo que es Windows Vista ha hecho verdadera mella en las ventas del sustituto del viejo XP? ¿La premura con que se lanzó Vista nos utilizó a todos como beta-testers de este nuevo Windows 7? ¿Por qué y para qué Windows 7?

Que cada cual saque sus propias conclusiones, particularmente creo que la salida de esta nueva “versión” de Windows viene como consecuencia de un Windows Vista que no fue todo lo redondo que se esperaba en sus inicios, en unos tiempos en los que GNU/Linux y Mac OS también quieren una parte del pastel de los S.O. En cuanto comencemos a ver el nuevo “7” nos daremos cuenta de que el parecido con Mac OS tal vez no sea casual y sí una maniobra comercial y de marketing.

Dos veces he entrecomillado “versión”. Informáticamente hablando cuando un producto software sufre cambios considerables en su diseño o prestaciones hablamos de nueva versión, poniendo un ejemplo, Adobe PhotoShop CS4 es en realidad PhotoShop 11, como su predecesor CS3 fue PhotoShop 10, etc. El cambio en el dígito principal nos indica que el producto ha sufrido cambios notables. Por el contrario las revisiones suelen ser correcciones de errores, adición de pequeñas funcionalidades, y en definitiva, cambios poco relevantes.

Si Windows Vista tiene el número de versión 6.0.6001 (Vista con SP1), el propio equipo de desarrollo de Windows 7 ha denominado a este nuevo sistema como 6.1.7000. Es decir, desde el propio Microsoft, hasta la fecha, mientras no haya cambios notables en estos meses, Windows 7 no es más que una revisión de Windows Vista.  Tras pasar unos días con él todo parece indicar que el “7” es consecuencia de esa compilación “7000”, aunque de aquí a finales de año, cuando se libere la versión definitiva, esa compilación sufrirá algunos cambios, no sabemos entonces donde quedará el 7, sería realmente pretencioso pasar de una 6.1 a una 7.0 en tan pocos meses, aunque tratándose de Microsoft todo es posible.

01-capture1

Windows Vista SP2 está al caer, la Beta está liberada y oficialmente será abril de 2009 cuando esté en su versión definitiva para todos, a tenor de lo visto en “7” no habría sido en absoluto descabellado haberlo convertido en Windows Vista SP3, aunque evidentemente esta práctica no supondría una nueva remesa de fanáticos, y no tan fanáticos, actualizando sus sistemas operativos.

Si bien es cierto que Windows Vista no entró precisamente con buen pie en el mercado, faltaríamos a la verdad si dijéramos que todo sigue igual. Una vez pasados dos años, el sistema estabilizado en el mercado, con un buen soporte de drivers, un service pack que mejora algunos fallos importantes de la versión inicial, y máquinas considerablemente más potentes, Windows Vista comienza (ahora que está sentenciado a muerte) a verdaderamente correr (sin comillas) en las nuevas máquinas que salen a la venta.

Continue reading…

Tags: , , , , , , , , ,

Daboweb en apoyo a forosdelweb.com y maestrosdelweb.com (Actualización, dominios recuperados -;)

Posted by Dabo on Febrero 17, 2009
Cibercultura

Actualización a las 21,30 h, los dominios han sido recuperados por su legítimo propietario, vaya desde aquí nuestra más sincera enhorabuena -;). (Mensaje en Maestros del Web) (En Twitter).

Este pasado fin de semana, a Christian Van Der Henst, fundador y responsable de Maestros del Web y Foros del Web (actualmente cerrados bajo el título de “en mantenimiento”) le robaron toda su identidad electrónica y con ello, esos dos dominios que ya no están bajo su control.

Imagino que el ataque fue hacia su cuenta de correo electrónico principal, para acto seguido, mediante la “generosa” (cuando te hace falta) y  peligrosa (en manos de terceros) opción de “olvidé mi contraseña”, hacerse control de sus dominios, cuenta de FaceBook, otros mails, etc, etc.

Más allá de la reflexión a la que nos puede llevar un hecho así y la inoportunidad de usar el mismo correo administrativo en todas los servicios que uses, registros web, etc, etc, en nombre de Daboweb queríamos mostrar todo nuestro apoyo y solidaridad para con Christian Van Der Henst y toda la comunidad de usuarios que está detrás de forosdelweb.com y maestrosdelweb.com.

Esperamos que el agente registrador, GoDaddy en este caso, atienda a sus peticiones y muchas otras que les están llegando de usuarios y webs amigas de los sitios de Christian y le deje a su responsable demostrar que esos dominios son suyos ya que se trata de un robo en toda regla.

Si quieres ayudar a estas dos comunidades con la difusión de este caso, puedes informarte aqui;

Pulso Social | Menéame | CRISTALAB | Twitter de Christian (cvander) | Petición a GoDaddy

Mucha suerte, estaremos al tanto de como se desarrolla el tema.

Por David Hernández (Dabo) en nombre de toda la comunidad de usuarios de Daboweb

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Tags: , , , , , , , ,

Debian GNU/Linux “Lenny” (versión 5.0), descarga disponible

Posted by Dabo on Febrero 16, 2009
Sistemas Operativos

La comunidad de Debian anunció el pasado día 14 de Febrero el lanzamiento de una nueva versión estable de Debian GNU/Linux después de 22 meses de continuado desarrollo y la aportación de miles de usuarios de todo el mundo.

Debian Lenny se ejecuta en 12 arquitecturas diferentes ( Sun SPARC (sparc), HP Alpha (alpha), Motorola/IBM PowerPC (powerpc), Intel IA-32 (i386), IA-64 (ia64), HP PA-RISC (hppa), MIPS (mips, mipsel), ARM (arm, armel), IBM S/390 (s390), y AMD64 de AMD y EM64T de Intel (amd64).

Cuenta con interesantes novedades y mejoras. Aquí las relativas a la seguridad;

Otras mejoras en la seguridad del sistema incluyen: la instalación de las actualizaciones de seguridad disponibles antes del primer reinicio del sistema de instalación, la reducción en el número de binarios con el bit setuid de root habilitado así como del número de puertos abiertos en la instalación estándar. Algunos paquetes de seguridad críticos se han compilado con las características de bastionado de GCC. También se han realizado mejoras específicas en algunas aplicaciones. Por ejemplo, se ha compilado PHP con el parche de bastionado de Suhosin.

Novedades más importantes;

Debian GNU/Linux 5.0 Lenny incluye soporte para la plataforma Orion de Marvell, utilizada en muchos dispositivos de almacenamiento. Entre los dispositivos de almacenamiento soportados se incluyen el QNAP Turbo Station, el HP Media Vault mv2120 y el Buffalo Kurobox Pro. Lenny también incluye soporte para los Netbooks, en particular para los Eee PC de Asus. Lenny incluye las herramienta de compilación desarrolladas para Emdebian, que permiten que puedan realizarse compilaciones cruzadas de los paquetes fuente de Debian y reducir su tamaño para que puedan utilizarse en sistemas ARM.

Debian GNU/Linux 5.0 (Lenny) incluye la nueva adaptación a ARM EABI: Armel. Esta nueva adaptación permite un uso más eficiente tanto de los modernos como de los futuros procesadores ARM. A consecuencia de esto, se da por obsoleta la antigua adaptación de ARM (arm).

Esta versión incluye una gran cantidad de paquetes de programas actualizados como: el entorno de escritorio K Desktop Environment 3.5.10 (KDE), una versión actualizada del entorno de escritorio GNOME 2.22.2, el entorno de escritorio Xfce 4.4.2, LXDE 0.3.2.1, el escritorio GNUstep 7.3, X.Org 7.3, OpenOffice.org 2.4.1, GIMP 2.4.7, Iceweasel 3.0.6 (una versión de Mozilla Firefox que no utiliza la marca registrada), Icedove 2.0.0.19 (una versión de Mozilla Thunderbird que no utiliza la marca registrada), PostgreSQL 8.3.6, MySQL 5.0.51a, la colección de compiladores del GNU (GCC) 4.3.2, el núcleo de Linux versión 2.6.26, Apache 2.2.9, Samba 3.2.5, Python 2.5.2 y 2.4.6, Perl 5.10.0, PHP 5.2.6, Asterisk 1.4.21.2, Emacs 22, Inkscape 0.46, Nagios 3.06, Xen Hypervisor 3.2.1 (con soporte tanto para dom0 como para domU), OpenJDK 6b11 y más de otros 23.000 paquetes de programas listos para usarse (contruídos a partir de 12.000 paquetes fuente).

Toda la información en el anuncio oficial de la versión 5.0.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Tags: , , , , ,

Vulnerabilidades en navegador web Apple Safari. Nueva versión 3.2.2 para Windows Vista y XP

Posted by Dabo on Febrero 13, 2009
Seguridad Informática

Se han reportado varias vulnerabilidades en el navegador Safari de Apple que afectan a sistemas Windows Vista y XP.

Ya está disponible la versión 3.2.2 de Safari que solventa dichos bugs desde el actualizador de software de Apple así como del sitio de descargas del navegador.

Estos fallos (ejecución de código arbitrario en feeds / RSS manipulados o Javascript embebidos en los mismos) no afectan a sistemas Mac OS X con el Security Update 2009-001 instalado (publicados los detalles del mismo en Daboweb hace unas horas).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Tags: , , , , , , , , , ,

Apple security Update 2009-001 (Mac OS X 10.5.6 y Mac OS X 10.4.11) y Java Update

Posted by Dabo on Febrero 12, 2009
Seguridad Informática

Está ya disponible vía el menú “Actualizacion de software” de vuestros Mac la revisión de seguridad 2009-1 para Mac OS X 10.5.6 y 10.4.11 versiones de escritorio y server.

Dado los fallos que esta actualización de seguridad soluciona, es recomendable su instalación inmediata para estar protegidos ante una posible explotación de los mismos.

Concretamente, se han corregido los siguientes componentes vulnerables del sistema;

AFP Server, Apple Pixlet Video, CarbonCore, CFNetwork, CFNetwork, Certificate Assistant, ClamAV, CoreText, CUPS, DS Tools, fetchmail, Folder Manager, FSEvents, Network Time, Perl, Printing, Python, Remote Apple Events, Safari RSS, SMB, SquirrelMail, X11, XTerm.

También se han liberado sendas actuaciones de Java para las mismas distribuciones que solventan vulnerabilidades en Java Web Start y Java Plug-in que podrían ser sensibles a ataques vía webs especialmente manipuladas para tal fin.

Más info | Zona de descargas de Apple.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Tags: , , , , , , , , ,

Vulnerabilidad crítica en BlackBerry Aplication Web Loader.

Posted by Dabo on Febrero 12, 2009
Seguridad Informática

Se ha reportado una vulnerabilidad catalogada como de alto riesgo por Secunia en el software BlackBerry Aplication Web Loader, un cargador de aplicaciones web que viene instalado en dispositivos BlackBerry y que usa la tecnología Microsoft® ActiveX® para la instalación de aplicaciones vía web.

Este bug puede ser aprovechado para, a través de una página web manipulada para tal fin, engañar al usuario y romper la seguridad del dispositivo mediante un desbordamiento del buffer que llevaría a la ejecución de código arbitrario en la BlackBerry. El error se da en AxLoader.ocx or AxLoader.dll.

La solución pasa por actualizar el software a la versión 1.1 (en su sección de desarrollo, descarga bajo registro previo hasta que publiquen una actualización de su software de escritorio).

Más información (BlackBerry USA)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Tags: , , , ,

Actualizaciones de Microsoft Febrero 2009

Posted by Redacción on Febrero 11, 2009
Sistemas Operativos

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Febrero de 2009.

En esta ocasión, se compone de cuatro (4) actualizaciones de seguridad,  dos catalogadas como críticas y dos como importantes, que entre otras, solventan vulnerabilidades que podrían permitir la Ejecución remota de código en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

Críticas:

  • Boletín de seguridad de Microsoft MS09-002: Actualización de seguridad acumulativa para Internet Explorer (961260). Resuelve dos vulnerabilidades que podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada.
  • Boletín de seguridad de Microsoft MS09-003: Vulnerabilidades en Microsoft Exchange podrían permitir la ejecución remota de código (959239).

Importantes:

  • Boletín de seguridad de Microsoft MS09-004: Una vulnerabilidad en Microsoft SQL Server podría permitir la ejecución remota de código (959420).
  • Boletín de seguridad de Microsoft MS09-005: Vulnerabilidades en Microsoft Office Visio podrían permitir la ejecución remota de código (957634).

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado de Microsoft para sistemas Windows Xp, Windows 2000, Windows 2003 Server y Windows Vista.

Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe (como Blaster, Sasser y Mydoom) en equipos con Windows XP, Windows 2000, Windows Server 2003 y Windows Vista instalado, y ayuda a eliminarlas.

# Boletín y descarga de actualizaciones de Febrero 2009.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Tags: , , ,

WordPress 2.7.1, actualización disponible

Posted by Dabo on Febrero 10, 2009
Webmaster

Según se puede leer en el blog de desarrollo de WordPress, (ENG) se acaba de liberar la versión 2.7.1 de este gestor de contenidos tan utilizado actualmente.

Se trata de una versión de mantenimiento y se han solventado 68 tickets pendientes abiertos en el trac (lugar de desarrollo) de WordPress.

También informan de que vía el menú “herramientas” “actualizar” se puede realizar el update o ,de otro modo, según el método tradicional descargando la nueva versión al completo.

Os recordamos que para actualizar sin sustos, puedes consultar nuestro tutorial.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Tags: , , , , ,