Monthly Archives: diciembre 2010

Parche y solución para vulnerabilidad “0-Day” en WordPress (todas las versiones)

Posted by Destroyer on diciembre 07, 2010
Seguridad Informática / Comentarios desactivados en Parche y solución para vulnerabilidad “0-Day” en WordPress (todas las versiones)

Hace unos días os informamos en Daboweb acerca del lanzamiento de la versión 3.0.2 de WordPress. Pues bien, en estos momentos, tanto esta nueva versión, como la futura versión 3.1 de WP (aún en estado «alfa») y anteriores, son vulnerables a un ataque de inyección SQL a través de la función «do_trackbacks".

El autor del descubrimiento, es quien reporta la solución temporal hasta que WordPress libere una versión de seguridad que lo corrija. Muy fácil de aplicar (probado en 8 wp) tal y como explica Fernando en Ayuda WordPress

IMPORTANTE: Rectificación sobre el Zero Day de WordPress

Tags: , , , , ,

Manuales Fentlinux (contraseñas, cron y at, cyrus, documentación, yum y emerge)

Posted by vlad on diciembre 06, 2010
Manuales y Tutoriales / Comentarios desactivados en Manuales Fentlinux (contraseñas, cron y at, cyrus, documentación, yum y emerge)

Mas manuales de la extinta web fentlinux.com. En esta ocasión os ofrecemos unos tutoriales de lo mas variado, desde un minimanual de emerge, herramienta de instalación en Gentoo, hasta como documentar convenientenemente un programa en C, pasando por como planificar tareas con los comandos cron y at. Los enlaces a los manuales los tenéis a continuación:

De lectura obligada para aquellos que quieran conocer a fondo los entresijos del sistema operativo GNU/Linux.

Nota: manuales desactualizados.

Tags: , , ,

[Breves] Parada del foro y migración a un nuevo servidor. Tarea finalizada

Posted by Dabo on diciembre 04, 2010
[Breves] / Comentarios desactivados en [Breves] Parada del foro y migración a un nuevo servidor. Tarea finalizada

Por motivo del estreno de un nuevo datacenter de nuestro patrocinador de hosting Interdominios, vamos a aprovechar el cambio migrando a un nuevo servidor más potente, es por ello este fin de semana el foro permanecerá cerrado durante 24h aprox (a partir de mañana a mitad mañana) y en la web no se publicará ninguna noticia mientras se realiza el cambio de DNS, etc.

Y si en días posteriores veis algún funcionamiento raro o problemas de acceso es por la adecuación al nuevo servidor.

Gracias y disculpad las molestias.

EDITADO:

Realizadas todas las tareas de migración al nuevo servidor, estamos online.

Tags: ,

Servidores comprometidos con ProFTPD 1.3.3c descargado entre el 28-11 y el 1-12

Posted by Dabo on diciembre 02, 2010
Seguridad Informática / Comentarios desactivados en Servidores comprometidos con ProFTPD 1.3.3c descargado entre el 28-11 y el 1-12

A través de Hispasec nos enteramos de un grave agujero de seguridad que afecta a ProFTPD en su versión 1.3.3c, habiendo sido descargado entre los días 28 de Noviembre y 1 de Diciembre.

Atacantes remotos lograron el acceso al servidor principal desde el que se distribuye ProFTPD, manipulando los ficheros originales e instalando una puerta trasera que permite el acceso remoto con privilegios de root a usuarios no autenticados en el sistema consiguiendo un acceso total al sistema afectado.

El fallo ha sido corregido, aunque hay dudas acerca de cómo se ganó el acceso. Os recomendamos leer toda la información sobre esta grave vulnerabilidad en Hispasec.

Tags: , , , , , ,

Actualización del kernel de Debian Linux 5.x

Posted by vlad on diciembre 01, 2010
Seguridad Informática, Sistemas Operativos / Comentarios desactivados en Actualización del kernel de Debian Linux 5.x

Se ha publicado una actualización del kernel de Debian Linux, concretamente de la rama 5.x, la cual da solución a diversos fallos de seguridad que podían provocar en el sistema afectado fallos de todo tipo, desde ejecución de código, elevaciones de privilegios, pasando por denegaciones de servicio entre otros problemas. El proyecto Debian se ha apresurado a que sus usuarios dispongan a través de las herramientas habituales de actualización, de una nueva versión del núcleo que ya no sufre de estos fallos de seguridad.

Se recomienda la actualización inmediata, sobre todo para aquellos sistemas que debido a su uso, esten expuestos a muchos usuarios, como puedan ser servidores webs o de bases de datos entre otros. En lo que va de año, esta es la actualización de seguridad mas importante y cuantiosa que nos llega desde la gran distribución linuxera Debian.

Mas información en este enlace.

Tags: , , ,

Herramientas para la interpretación de capturas de red. (6/10)

Posted by Alfon on diciembre 01, 2010
Seguridad Informática / Comentarios desactivados en Herramientas para la interpretación de capturas de red. (6/10)

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5

Wireshark I Parte.

.

¿ Qué es Wireshark ?.

Wireshark es una herramienta multiplataforma para análisis de tráfico de red, producto de la evolución del antiguo Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Posee una serie de decodificadores para la mayor parte de protocolos así como plugins y herramientas para el análisis gráfico de las capturas.

Este es solo una pequeña definición de esta herramienta. Veremos, a lo largo de esta artículo, que Wireshark es capaz de destripar, decodificar, analizar todo nuestro tráfico aportando una grandísima cantidad de datos. Datos que, una vez analizados, nos servirán para optimizar nuestra red, buscar errores, análisis forense, geoposicionamiento, análisis de rendimiento, etc, etc. Vamos a ello.

Antes que nada un apunte sobre este artículo. Escribir sobre Wireshark podría dar para un libro o dos. Así que en este artículo y el siguiente trataremos este tema de forma práctica para aprender a usarlo lo mejor y más rápidamente posible (usuarios principiantes / medio), tocando todos los aspectos posibles pero si mucha profundidad. Otros aspectos más avanzados lo trataremos en otra serie de artículos.

Continue reading…

Tags: , , , ,

WordPress 3.0.2, actualización de seguridad

Posted by Liamngls on diciembre 01, 2010
Webmaster / Comentarios desactivados en WordPress 3.0.2, actualización de seguridad

Nueva actualización para WordPress camino de la versión 3.1, la presente está considerada de seguridad. Presenta un riesgo de seguridad moderado mediante el cual un usuario del tipo autor podría hacer una escalada de privilegios y tomar el control del sitio.

Además se han corregido otros errores de menor importancia de versiones precedentes.

Importante actualizar. Y como siempre, el Dabo-how-to de actualización de WP. Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

  • Desactivamos los plugins.
  • Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
  • Subimos los ficheros nuevos y sobreescribimos todo.
  • Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
  • Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas. Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización. Página de descarga. Entrada en WP.org.

Publicado en Daboweb, Noviembre de 2010

Posted by Destroyer on diciembre 01, 2010
Seguridad Informática / Comentarios desactivados en Publicado en Daboweb, Noviembre de 2010

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Noviembre de 2010 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Noviembre 2010

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , ,

Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)    Ver
Privacidad