Daboweb

Archive for Mayo, 2010

Nueva versión de Joomla, 1.5.18, corrige vulnerabilidad XSS (en 1.5.7 y anteriores)

Posted by Dabo on Mayo 29, 2010
Seguridad Informática

El equipo de seguridad de Joomla ha anunciado la inmediata disponibilidad de la versión de seguridad 1.5.18 que corrige una seria vulnerabilidad XSS afectando a la versión 1.5.7 y todas las anteriores de la rama 1.5x.

Caso de ser explotado, el bug puede llevar a la inyección de código Javascript por parte de un usuario sin privilegios en el “Back-end” (panel de usuario) hacia la pantalla o sesión de un administrador con las fatales consecuencias que puede tener para el CMS. Ha sido reportada por Riyaz Ahemed y se recomienda actualizar a la mayor brevedad posible.

Más información en el anuncio oficial | Sobre el XSS.

Tags: , , , , , , ,

www.daboweb.com, 8 años en Internet, gracias -;)

Posted by Dabo on Mayo 28, 2010
Cibercultura

Un año más y van 8 como www.daboweb.com. En Internet, hablar del año 2002 es como hacer un viaje al pasado, no hay más que ver en Wikipedia lo que se cocía por aquella época (el 15 de Enero cumplía un año la versión en castellano-;).

En el título no pone “gracias” gratuitamente o por adornar el post. “Gracias” a Daboweb, en lo personal he conocido a gente que es ya parte de mi vida, he podido ir evolucionando humana y tecnológicamente junto a muchos de vosotros que estáis aquí “desde el principio”.

Cuando todavía a ningún iluminado “2.0” se le había ocurrido eso de “las redes sociales”, nosotros, nos hicimos fuertes en nuestro foro y a raíz de ahí se fue forjando la comunidad que somos hoy en día. Una comunidad inquieta, emprendedora a más no poder si tenemos en cuenta la cantidad de proyectos Web que he visto forjarse aquí y que, desde los inicios, se ha sentido muy cómoda tratando temas relacionados con la seguridad y ayuda informática en todas sus variantes.

Sobra decir que sin esta gente y sin ese apoyo que nos llega desde vuestra parte, hubiera sido imposible para mi pensar en la fundación de Caborian, o llevar adelante todo lo que podéis ver en mi davidhernandez.es, mi “tarjeta de visita” vía web. Ellos siempre han entendido mi vena de “culo inquieto” como diría un castizo xD y nunca les estaré lo suficientemente agradecido.

Aquí estamos y aquí seguimos, sobreviviendo y adaptándonos a las múltiples tendencias que hemos vivido en un mundo tan sujeto a cambios continuos como es el de Internet y la tecnología en general. ¿Lo mejor de todo?, todos hemos ido evolucionando y buscando nuestro propio camino, unos en Windows, otros en GNU/Linux o Mac OS X, con nuestras webs o blogs de mútiples temáticas (mirad el blogroll) pero…el grupo sigue unido, en constante comunicación y en Daboweb.

Y para celebrarlo, nuestros amigos de Cajón Desastres, en un día tan especial, nos han preparado esta postal

Va por ustedes ! Como mínimo, hay que cumplir los 10 y luego…otros 20 !

Por (un orgulloso-;) David Hernández (Dabo), en compañía de sus AMIGOS.

Tags: , ,

Bots conversacionales, qué son y cómo protegerse

Posted by Redacción on Mayo 25, 2010
Seguridad Informática

Nos hacemos eco de esta noticia publicada en Inteco, referente a las precauciones a observar frente a robots conversacionales.

Los bots conversacionales son programas informáticos que se hacen pasar por una persona real en un programa de mensajería instantánea. Son capaces de mantener una conversación con alguno de los siguientes fines:

  • Recopilar información confidencial como datos bancarios.
  • Instalar programas maliciosos.
  • Enviar publicidad no deseada.
  • Conseguir imágenes del usuario solicitando que se active la cámara web.

En el siguiente vídeo publicado en el canal de Youtube de INTECO-CERT se puede ver un bot conversacional en acción:

watch?v=4W2HeV9wAIk

Para evitarlos, se recomienda seguir los siguientes consejos:

  • Limitar la difusión de la dirección de correo electrónico. No sólo para evitar los bots conversacionales, sino también, para evitar el spam.
    Es recomendable disponer de varias direcciones de correo que emplearemos en cada circunstancia, como explicábamos en este manual:
    Consejos de uso de las cuentas de correo electrónico.
  • Sospechar de los enlaces a páginas web o a programas que aparezcan en las conversaciones, aunque sean de amigos de confianza, sobre todo, si se tratan de enlaces o archivos que no se han solicitado.
    Mucha precaución sobre todo con aquellos que hacen referencia a la descarga o visionado de fotos, vídeos, etc. que exponíamos en este manual:
    Prevenir infecciones desde el Messenger.

Algunos clientes de mensajería instantánea avisan al usuario del peligro de visitar estos enlaces como vemos en la captura superior.

En definitiva y como siempre repetimos utiliza el sentido común y precaución.

Tags: , , , , ,

[Breves] Inesperada actualización final (la 9ª) para Debian GNU/Linux 4 (Etch)

Posted by Dabo on Mayo 24, 2010
[Breves]

Inesperada ya que el equipo de desarrollo de Debian anunció que el pasado 15 de Febrero era la fecha limite de soporte para la actual versión “oldstable” (Etch), por lo que todos dábamos el ciclo de vida de Etch por finalizado.

Esta actualización viene para corregir numerosos e importantes bugs localizados en Etch, por lo que si además de usar esta versión como entorno de escritorio,  lo haces en un servidor web, aún siendo lo aconsejable que se actualice a Lenny (versión estable), es de carácter urgente aplicar este update.

Fuente y más información en DebianHackers.

Tags: , , , , ,

Difusión de Malware a través de secuestros DNS en subdominios

Posted by Dabo on Mayo 23, 2010
Seguridad Informática

Si decimos que la industria del Malware, además de molesta, perniciosa y cansina, está siempre “a la última” en cuanto a técnicas de infección-redifusión, no sería nada nuevo ya que de todos es sabido.

Pero no está de más tener en cuenta esta información que podemos leer en Slashdot (ENG) con origen en este enlace (ENG), en la que se hacen eco de un aumento de ataques a través de servidores DNS vulnerables o con configuraciones potencialmente explotables, que son un filón para los crackers que consiguen hacerse con el control de esos servidores DNS, redirigiendo varios subdominios legítimos a una IP diferente y desde donde se llevan a cabo los ataques (de todo tipo) hacia el usuario a través de su navegador.

Sirva también a modo de recordatorio para los que administramos un servidor web, ya que como bien apuntan en la entrada original, a veces, una vez que has configurado las zonas DNS así como los diferentes dominios principales y subdominios, puede que no se revisen con la frecuencia que sería deseable y más si son subdominios creados no para servir páginas, sino para alojar por ejemplo imágenes, ficheros, etc, donde rara vez se consulta vía web sino más bien por FTP-SFTP.

Aunque personalmente opino que si ya se han hecho con el control de tu DNS, estás técnicamente K.O. Si hablamos de un servidor web bajo GNU/Linux, no está de más revisar esas configuraciones DNS y usar herramientas como “nslookup” o hacer consultas DNS con el comando “dig” para ver que está todo correcto y que tanto los dominios principales como subdominios, apuntan a IPs correctas.

Y para acabar, hablando de subdominios, es importante revisar a nivel de Apache que no queden expuestos o la vista de todos los subdominios (listado de directorios), aunque con un simple “index.php” o “.html” en el directorio principal del subdominio, caso de que como dije antes no se sirva tráfico web desde él, el contenido alojado dentro no quedará expuesto.

Tags: , , , , , , , ,

Ejecución de código arbitrario en McAfee LinuxShield

Posted by Dabo on Mayo 22, 2010
Seguridad Informática

Ha sido reportada por parte de Nikolas Sotiriu una vulnerabilidad en McAfee LinuxShield que podría llevar a la ejecución de código arbitrario remoto en instalaciones de la versión 1.5.1 y anteriores sin el parche HF550192.

El ataque se vale de la interfaz web de LinuxShield además del demonio local “nailsd” que permanece a la escucha en el puerto 65443/tcp, pudiendo derivar bajo determinadas circunstancias tal y como explica Nikolas en el enlace anterior, (estando autenticado en el sistema afectado) a la ejecución de tares con privilegios de root (super ususario).

Si bien este fallo no es tan grave al ser necesaria una cuenta válida en el cliente de LinuxShield, se recomienda parchear el producto a la mayor brevedad posible para evitar problemas mayores en los sistemas afectados.

Desde McAfee ofrecen ya una solución a este bug vía el parche HF550192.

Tags: , , , , , ,

50 herramientas de seguridad Open Source para reemplazar a las más populares.

Posted by Dabo on Mayo 19, 2010
Seguridad Informática

En el campo de la seguridad, desde sus comienzos, el movimiento Open Source ha plantado cara con éxito a las soluciones comerciales (algunas muy efectivas) sin ningún complejo.

Hoy queríamos recomendaros una lista muy elaborada de 50 herramientas Open Source relacionadas con la seguridad a modo de alternativas más que validas frente a las más usadas habitualmente, que no por ello tienen que ser necesariamente mejores.

La lista está en Inglés pero se entiende perfectamente y en lo personal, puedo decir que muchas de ellas llevo usándolas desde hace años con muy buenos resultados. En ella podremos encontrar antivirus, firewalls, sniffers, herramientas de cifrado, backups, recuperación de datos y un largo etc.

Acceso a; 50 herramientas de seguridad Open Source como alternativa a las más populares (ENG).

Tags: , , , , ,

Podcast número 17 de DaboBlog, ya disponible

Posted by Redacción on Mayo 17, 2010
Cibercultura

Nuestro compañero Dabo ya ha publicado el número 17 del podcast sobre GNU/Linux y Mac que lleva adelante junto al resto de los participantes habituales que le acompañan en cada programa.

En este número, dentro de la sección Kernel Panic (dedicada a GNU/Linux), se hablará de las novedades que aporta Ubuntu 10.4, así como su opinión sobre ciertos movimientos de Canonical que afectan a Ubuntu y su uso.

En el apartado Manzanas Traigo (sobre Apple y Mac OS X); historia con Android y el iPhone, agradecimientos, Pin Podcast, iPad, precios, planes de datos, opiniones, fechas, microsim, etc, iPhone, sigue la saga del prototipo perdido, Jailbreak, nuestras recomendaciones de la quincena, etc. Mac, iTunes Live, lala, carta a Jobs ¿?, las manzanas de lur, etc.

Tags: , , , , ,

Liberado Kernel Linux 2.6.34

Posted by Redacción on Mayo 17, 2010
Programas
Se encuentra disponible para su descarga la última versión estable del Kernel (o núcleo) de GNU/Linux. Concretamente la número; 2.6.34.
.
Os invitamos a consultar también la Listado de cambios o “Changelog” de esta nueva entrega del Kernel.
.
Información sobre el Kernel en la Wikipedia.

FAQS o preguntas frecuentes sobre el Kernel Linux.

Descargar Kernel Linux.

Tags: , , , ,

Revista gratuita fotográfica Foto DNG 45, Mayo de 2010

Posted by Dabo on Mayo 15, 2010
Cibercultura

Como cada mes, ya tenéis disponible en este caso el número 45, de la revista Foto DNG (Año V). listo para descargar, también ver en formato Flash online o adquirir en versión impresa a través de Bubok.

Desde Daboweb os recomendamos la descarga y visualización de Foto DNG, revista electrónica gratuita sobre fotografía, dirigida a todos los aficionados y profesionales de este ámbito.

Una publicación que está orientada a usuarios que vengan del analógico como del digital. El formato es como siempre en pdf, y están licenciada bajo Creative Commons.

El índice de contenidos de este número 45 es el siguiente:

Índice

  • Redacción (Página 2).
  • Indice (Página 3).
  • Novedades (Página 4).
  • Casio EX-FH20 (Página 16).
  • OCZ Rally2 USB 2.0 Flash Drive 64Gb (Página 26).
  • Mezquita Hassan II (Página 31).
  • Calles de Calcuta (Página 38).
  • VEUDE (Página 54).
  • Raúl J. Martínez (Página 71).
  • Gana dinero con tus fotos (Página 86).
  • Noticias Eventos (Página 94).
  • Libros (Página 114).
  • Grupo Foto DNG en Flickr (Página 116).

Acceso a la web de Foto DNG.

Tags: , , , , ,