Posted by Destroyeron diciembre 07, 2010 Seguridad Informática /
Comentarios desactivados en Parche y solución para vulnerabilidad “0-Day” en WordPress (todas las versiones)
Hace unos días os informamos en Daboweb acerca del lanzamiento de la versión 3.0.2 de WordPress. Pues bien, en estos momentos, tanto esta nueva versión, como la futura versión 3.1 de WP (aún en estado «alfa») y anteriores, son vulnerables a un ataque de inyección SQL a través de la función «do_trackbacks".
El autor del descubrimiento, es quien reporta la solución temporal hasta que WordPress libere una versión de seguridad que lo corrija. Muy fácil de aplicar (probado en 8 wp)tal y como explica Fernando en Ayuda WordPress
Posted by vladon diciembre 06, 2010 Manuales y Tutoriales /
Comentarios desactivados en Manuales Fentlinux (contraseñas, cron y at, cyrus, documentación, yum y emerge)
Mas manuales de la extinta web fentlinux.com. En esta ocasión os ofrecemos unos tutoriales de lo mas variado, desde un minimanual de emerge, herramienta de instalación en Gentoo, hasta como documentar convenientenemente un programa en C, pasando por como planificar tareas con los comandos cron y at. Los enlaces a los manuales los tenéis a continuación:
Posted by Daboon diciembre 04, 2010 [Breves] /
Comentarios desactivados en [Breves] Parada del foro y migración a un nuevo servidor. Tarea finalizada
Por motivo del estreno de un nuevo datacenter de nuestro patrocinador de hosting Interdominios, vamos a aprovechar el cambio migrando a un nuevo servidor más potente, es por ello este fin de semana el foro permanecerá cerrado durante 24h aprox (a partir de mañana a mitad mañana) y en la web no se publicará ninguna noticia mientras se realiza el cambio de DNS, etc.
Y si en días posteriores veis algún funcionamiento raro o problemas de acceso es por la adecuación al nuevo servidor.
Gracias y disculpad las molestias.
EDITADO:
Realizadas todas las tareas de migración al nuevo servidor, estamos online.
Posted by Daboon diciembre 02, 2010 Seguridad Informática /
Comentarios desactivados en Servidores comprometidos con ProFTPD 1.3.3c descargado entre el 28-11 y el 1-12
A través de Hispasec nos enteramos de un grave agujero de seguridad que afecta a ProFTPD en su versión 1.3.3c, habiendo sido descargado entre los días 28 de Noviembre y 1 de Diciembre.
Atacantes remotos lograron el acceso al servidor principal desde el que se distribuye ProFTPD, manipulando los ficheros originales e instalando una puerta trasera que permite el acceso remoto con privilegios de root a usuarios no autenticados en el sistema consiguiendo un acceso total al sistema afectado.
Se ha publicado una actualización del kernel de Debian Linux, concretamente de la rama 5.x, la cual da solución a diversos fallos de seguridad que podían provocar en el sistema afectado fallos de todo tipo, desde ejecución de código, elevaciones de privilegios, pasando por denegaciones de servicio entre otros problemas. El proyecto Debian se ha apresurado a que sus usuarios dispongan a través de las herramientas habituales de actualización, de una nueva versión del núcleo que ya no sufre de estos fallos de seguridad.
Se recomienda la actualización inmediata, sobre todo para aquellos sistemas que debido a su uso, esten expuestos a muchos usuarios, como puedan ser servidores webs o de bases de datos entre otros. En lo que va de año, esta es la actualización de seguridad mas importante y cuantiosa que nos llega desde la gran distribución linuxera Debian.
Posted by Alfonon diciembre 01, 2010 Seguridad Informática /
Comentarios desactivados en Herramientas para la interpretación de capturas de red. (6/10)
Wireshark es una herramienta multiplataforma para análisis de tráfico de red, producto de la evolución del antiguo Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Posee una serie de decodificadores para la mayor parte de protocolos así como plugins y herramientas para el análisis gráfico de las capturas.
Este es solo una pequeña definición de esta herramienta. Veremos, a lo largo de esta artículo, que Wireshark es capaz de destripar, decodificar, analizar todo nuestro tráfico aportando una grandísima cantidad de datos. Datos que, una vez analizados, nos servirán para optimizar nuestra red, buscar errores, análisis forense, geoposicionamiento, análisis de rendimiento, etc, etc. Vamos a ello.
Antes que nada un apunte sobre este artículo. Escribir sobre Wireshark podría dar para un libro o dos. Así que en este artículo y el siguiente trataremos este tema de forma práctica para aprender a usarlo lo mejor y más rápidamente posible (usuarios principiantes / medio), tocando todos los aspectos posibles pero si mucha profundidad. Otros aspectos másavanzados lo trataremos en otra serie de artículos.
Posted by Liamnglson diciembre 01, 2010 Webmaster /
Comentarios desactivados en WordPress 3.0.2, actualización de seguridad
Nueva actualización para WordPress camino de la versión 3.1, la presente está considerada de seguridad. Presenta un riesgo de seguridad moderado mediante el cual un usuario del tipo autor podría hacer una escalada de privilegios y tomar el control del sitio.
Además se han corregido otros errores de menor importancia de versiones precedentes.
Importante actualizar. Y como siempre, el Dabo-how-to de actualización de WP. Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:
Desactivamos los plugins.
Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
Subimos los ficheros nuevos y sobreescribimos todo.
Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
Si necesitas actualizar algún plugin hazlo ahora y reactívalos.
Eso es todo, si no falla nada puedes borrar las carpetas renombradas. Podéis leer tambiénnuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización. Página de descarga. Entrada en WP.org.
Posted by Destroyeron diciembre 01, 2010 Seguridad Informática /
Comentarios desactivados en Publicado en Daboweb, Noviembre de 2010
Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweben Noviembre de 2010 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.
Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).
Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)
Ver