Daboweb

Archive for marzo, 2012

[Breves] Joomla! 1.5.26 actualización de seguridad

Posted by Liamngls on marzo 31, 2012
[Breves]

Con nombre [senu takaa ama busani] llega una nueva actualización para Joomla!, la 1.5.26 que corrige dos problemas de seguridad, uno considerado de prioridad alta y otro de prioridad baja. El primero de ellos es un bug que afecta al restablecimiento de contraseña provocado por una insuficiencia a la hora de generar contraseñas aleatoriamente (que se generaban pocas).

La segunda y de prioridad baja es un bug que podría permitir la visualización de información administrativa tras una comprobación errónea de permisos. Concretamente:

  • Prioridad alta – Núcleo – Vulnerabilidad en cambio de contraseña. Más info (ENG)
  • Prioridad baja – Núcleo – Divulgación de información. Más info (ENG)

Esta nueva actualización no incluye ninguna otra mejora ni corrección alguna de errores, se recomienda actualizar a la mayor brevedad posible. También me entero vía gnumla de que el soporte para la rama 1.5.x se extiende hasta Septiembre de este año (no he encontrado confirmación oficial).

Anuncio original en Joomla. (ENG).

Tags: , , ,

[Breves] Vulnerabilidad grave en “Apache Traffic Server”.

Posted by Dabo on marzo 26, 2012
[Breves], Seguridad Básica

Según leemos en H-Online (ENG), se ha reportado un fallo de seguridad catalogado como de impacto alto en “Apache Traffic Server” (CVE-2012-0256).

Dicho bug afecta prácticamente a todas las ramas 2.x y 3.x (incluso las de desarrollo) y se recomienda actualizar a la mayor brevedad posible a la versión 3.0.4 dado que evita tanto ataques de denegación de servicio (DoS) o la ejecución arbitraria de código.

Más información (Apache Server).

Tags: , , , , , , ,

El kernel de Linux 3.3 ya incluye el núcleo de Android

Posted by vlad on marzo 20, 2012
Sistemas Operativos

El pasado dia 18 de este mes se publicó la nueva versión del nùcleo de Linux, la cual ya va por la versión 3.3 y que en esta ocasión y como principal novedad, incluye “dentro del mismo” el núcleo del popular Android, lo que significa que se podrá arrancar un espacio de usuario de este conocido y utilizado sistema operativo de móviles o tablets.

Parece que por fin se han superado los problemas y discrepancias que había en esta integración, pero al final lo inevitable ha terminado sucediendo y seguro que los mayores beneficiados somos los usuarios, ya que esto abre muchas puertas a los desarrolladores de software, pudiendo con esta medida ampliar sus objetivos y hacer que nuestro GNU/Linux de escritorio y nuestro dispositivo móvil con Android esten mucho mas interactuados entre si.

En esta nueva actualización del kernel también se han hecho trabajos de mejora en el sistema de archivos ext4 o en el trabajo con redes.

Tags: , ,

Parche MS12-020 grave fallo en el manejo del protocolo RDP; la importancia de actualizar el sistema operativo;

Posted by Redacción on marzo 20, 2012
Seguridad Informática

El parche de seguridad MS12-020 liberado en las actualizaciones de Microsoft de la pasada semana, soluciona un grave fallo en el manejo del protocolo RDP, que puede (y será) aprovechada por muchos ciberdelincuentes para acceder a máquinas sin actualizar y obtener jugosa información de ellas.

Como ya hemos comentado en otras ocasiones, volvemos a incidir una vez más en la importancia que representa mantener actualizados tanto el sistema operativo, como todo el software o programas que utilizamos en nuestro equipo.

Las actualizaciones en la mayoría de ocasiones solucionan vulnerabilidades, problemas de seguridad o de funcionamiento del sistema, por lo que siempre debemos instalar las actualizaciones en cuanto se publiquen para tener el sistema totalmente actualizado, ya que de lo contrario, algún malware podría aprovecharse de estas debilidades e infectar nuestros equipos.

Leer más en Seguridad básica sobre el tema  Mantener el Sistema operativo y el Software actualizados.

Se encuentra disponible una prueba de concepto para la vulnerabilidad en RDP, publicado por Josep Albors en Eset laboratorio.

Tags: , , , , , ,

[Breves] Disponible Joomla 2.5.3. Actualización de seguridad,

Posted by Dabo on marzo 16, 2012
[Breves], Seguridad Informática

El pasado día 6 os informamos sobre la versión 2.5.2 de Joomla y la necesaria actualización, hoy volvemos a traer a nuestra portada a un CMS con tanta presencia como Joomla para recomendaros que actualicéis lo antes posible a la versión 2.5.3 que solventa dos vulnerabilidades catalogadas como de un impacto “alto” por sus creadores.

Sobre los bugs corregidos (ENG):

Anuncio de la versión 2.5.3 (ENG).

Tags: , ,

Aula Virtual de Criptografía y Seguridad de la Información Crypt4you. (Por los creadores de Intypedia)

Posted by Dabo on marzo 15, 2012
Seguridad Informática

Hoy es un gran día para todos los amantes de la Seguridad Informática en general y de los de la Criptografía en particular. Tal y como adelantamos en el título y según podemos leer en la nota de prensa que a continuación reproducimos.

De la mano del Dr. Jorge Ramió y del Dr. Alfonso Muñoz, (impulsores de un proyecto al que le hemos dado toda la difusión que merecía, la Enciclopedia de la Seguridad de la Información, Intypedia y cuya última lección se publicará en abril de 2012) nace un nuevo formato de enseñanza online, gratuita y colaborativa, el Aula Virtual de Criptografía y Seguridad de la Información Crypt4you.

Nota de prensa;

Crypt4you es un proyecto de innovación educativa sin ánimo de lucro que nace en la Red Temática de Criptografía y Seguridad de la Información Criptored, en la Universidad Politécnica de Madrid, España. Siguiendo el título del proyecto, se trata de criptografía para ti, criptografía y seguridad de la información para todos, una manera de abrir las puertas de la universidad hacia toda la sociedad.

Los autores de los cursos serán preferiblemente investigadores y profesores universitarios miembros de la Red Temática Criptored.

Una de las características distintivas de Crypt4you es la publicación y entrega de lecciones a manera de fascículos todos los días 1 y 15 de cada mes. El primer curso que lleva por título El algoritmo RSA, del profesor Dr. Jorge Ramió, y está compuesto por 10 lecciones que se publicarán desde el 15 de marzo al 1 de agosto de 2012.

Las lecciones contemplan un conjunto de ejercicios y prácticas, propuestos y resueltos y un test final de evaluación personal; con la última lección de cada curso se publicará un examen final. Otra característica de este nuevo formato de formación e-learning es el enfoque colaborativo, en tanto se pide a los alumnos que sigan estos cursos su participación activa a través de las redes sociales facebook y twitter de Crypt4you, resolviendo dudas y aportando conocimiento.

Otra faceta novedosa de este proyecto es la actualización dinámica de sus contenidos, en el sentido de que el autor podrá en cualquier momento actualizar los contenidos de sus lecciones, añadir nuevos apartados, nuevos ejercicios y prácticas.

En definitiva, Crypt4you se presenta como un nuevo formato de formación en seguridad de la información en la nube, gratuita, online y colaborativa, con el rigor que ha demostrado Criptored en sus doce años de vida sirviendo más de dos millones de documentos, con una especial dedicación hacia Iberoamérica.

Para mayor información, acceda al sitio Web de Crypt4you y lea las Frequently Asked Questions FAQ.

Sitio Web: http://www.crypt4you.com
Criptored: http://www.criptored.upm.es/
Intypedia: http://www.intypedia.com/

Desde Daboweb, seguiremos apoyando proyectos como este y vaya desde aquí toda la suerte de mundo !

Tags: , , , , , ,

Actualizaciones de Microsoft Marzo de 2012

Posted by Redacción on marzo 14, 2012
Sistemas Operativos

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Marzo de 2012.

En esta ocasión, se compone de  6 actualizaciones de seguridad; 1 catalogada como crítica, 4 como importantes y 1 como moderada que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la Ejecución remota de código, denegación de servicio y/o elevación de privilegios en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de actualizaciones de Marzo de 2012.

Tags: , , , , ,

INTECO ¿Qué sucedió y qué está por venir en seguridad y privacidad?

Posted by Redacción on marzo 13, 2012
Cibercultura, Seguridad Informática

Primera entrada como colaborador en Inteco de nuestro compañero Dabo.

Con el tema ¿Qué sucedió y qué está por venir en seguridad y privacidad?, Reflexión final de Dabo, se cierra una serie de XII capítulos o entrevistas junto a otros colaboradores del blog de Inteco, con lo que ha acontecido en seguridad de la información y privacidad durante este último año (#resumen2011) y lo que está por venir en 2012 (#prospectiva2012).

Citando a Dabo:

Posiblemente, este año 2012 si fuese el responsable de una PYME, me preocuparía más de la formación a mi equipo humano, la gestión integral de la seguridad y preparación frente a incidentes informáticos, que del tiempo consumido en mi empresa navegando por la Red Social de turno.

La inversión en seguridad debería ser considerada como un activo en medio de tanto “ROI“. Sí, no vende tanto como el Marketing, eso lo sabemos todos, pero te causará menos pérdidas a todos los niveles que “una mala campaña”.

# XII Entrevista Dabo.

Leer los artículos anteriores:

Tags: , , , , , ,

[Breves] Debian 5.0.10 “Lenny” released (última oportunidad para actualizar vuestros servers con “Lenny”).

Posted by Dabo on marzo 11, 2012
[Breves], Sistemas Operativos

Aún con el anuncio oficial el pasado día 9 de Febrero en el que se daba por cerrado el ciclo de actualizaciones de Debian 5.0x (“Lenny”) y con ello, la situación de inseguridad del sistema en el que se ejecute esta rama de la distribución, Debian demuestra una más vez su compromiso con la comunidad de usuarios liberando (al igual que hizo con “Etch”) la última actualización con el número de “release” 5.0.10.

Tal y como dije en mi primera participación para el Blog de INTECO, estos temas no son menores, aún con la recomendación de actualizar a Debian “Squeeze” (6.x), la actual versión estable, si vuestros servidores están con “Lenny”, no dudéis en parchearlos.

Fuente y más info en DebianHackers.

Tags: , , , , , ,

phpBB 3.1 requerirá PHP 5.3.2

Posted by Liamngls on marzo 10, 2012
[Breves]

imagen logo La futura versión 3.1, de nombre “Ascraeus” del sistema de foros phpBB requerirá una versión de PHP 5.3.2 ó superior. En las versiones 3.0.x el requerimiento mínimo es la versión 4.3.3 aunque la última versión del CMS, la 3.0.10 soporta PHP 5.3

Entre las razones esgrimidas para dar el salto a la última versión de PHP en medio del desarrollo de la nueva versión de phpBB se encuentra, principalmente, la de que la versión 5.2 está descontinuada por el equipo de desarrollo oficial y no recibe actualizaciones desde Julio del año 2010 (aunque en realidad obtuvo una nueva actualización en Enero de 2011, la 5.2.17) además de poder utilizar Symfony que está completamente desarrollado en PHP 5.3

Aún es pronto para preocuparse por esto ya que en la nota oficial afirman que la futura versión sigue en desarrollo y que falta todavía mucho tiempo para que sea necesario actualizar la versión de PHP. Lo cual no quita que siempre que sea posible se utilice la última versión estable.

Tags: , , , ,