Daboweb

Archive for abril, 2014

Actualización de seguridad para Adobe Flash Player soluciona grave vulnerabilidad

Posted by Destroyer on abril 29, 2014
Seguridad Informática

Según podemos leer en el blog de Adobe destinado a cuestiones de seguridad (ENG), se ha publicado como actualizaciones de seguridad, nuevas versiones del reproductor Flash Player para sistemas Windows, GNU/Linux y Mac OS X.

Es más que recomendable su inmediata actualización ya que su explotación podría derivar en un fallo del sistema, pudiendo hacerse con su control por parte de potenciales atacantes.

Estas vulnerabilidades afectan a las versiones:

  • Adobe Flash Player 13.0.0.182 y anteriores para Windows.
  • Adobe Flash Player 13.0.0.201 y anteriores para Macintosh.
  • Adobe Flash Player 11.2.202.350 ay anteriores para Linux.

En este manual puedes ver como Comprobar y actualizar la versión de Flash Player instalada en tu equipo con Windows.

Centro de descarga de Adobe Flash Player.

Tags: , , , , , , ,

Del 8 al 17 de mayo, arrancan las Jornadas gratuitas #X1RedMasSegura 2014.

Posted by Destroyer on abril 23, 2014
Seguridad Informática

X1RedMasSeguraYa hay fechas para las segundas Jornadas X1RedMasSegura  en colaboración con diversas Asociaciones, empresas y profesionales de la seguridad, en pro de acercar al gran público la problemática a la que se pueden enfrentar en Internet en muy diversos ámbitos.

Una iniciativa que merece todo nuestro apoyo, ya que está hecha por y para los usuarios, sin ningún ánimo de lucro y con gran esfuerzo e ilusión por parte de sus organizadores. Antes de reseñar lo más destacable de las Jornadas de seguridad que se celebrarán entre el 8 y 17 de mayo, no podemos dejar de recomendar el libro de Angelucho con el mismo título, disponible de forma gratuita en varios formatos.

Información sobre las jornadas:

Las Jornadas X1REDMASSEGURA nacieron en 2013 con el propósito de promover a través de un foro el uso de Internet de una manera confiable y segura. Su objetivo es hacer llegar a todos los públicos, independientemente de sus conocimientos técnicos en informática, el uso adecuado y responsable de los recursos disponibles en la red con el fin de evitar ser víctimas de abusos fraudulentos, estafas, acoso, grooming, y tantos otros problemas que cualquier navegante puede sufrir en Internet si no cuenta con unos conocimientos adecuados.Esta segunda edición del evento también se encuentra coordinada por el colectivo X1RedMasSegura, que desde su nacimiento en 2013 ha ofrecido sus ganas y todo su apoyo por hacer de estas jornadas algo grande, sin ningún ánimo de lucro.

Las Jornadas durarán dos semanas, del 8 al 17 de Mayo. Comenzarán por una serie de talleres GRATUITOS que se celebrarán del 8 al 14 de Mayo en las sedes de IPA Madrid, del Vivero de Empresas de Móstoles y de la UDIMA, para Padres, Niños, Ciberabuelos, Empresarios, Profesores e Internautas Base, en los que se enseñarán como protegerse de la red de redes sin necesidad de ser experto ni en Informática, ni en Seguridad de la Información. Entre los temas que se tratarán se encuentran porqué es necesario utilizar HTTPS, cómo crear una contraseña segura, seguridad en redes sociales, etc. Los talleres tienen un máximo de 20 plazas cada uno (a excepción de los talleres de Seguridad para Empresas que tendrá 40 plazas y del taller para Profesores, que tendrá 100 plazas), y podréis apuntaros GRATUITAMENTE desde el siguiente formulario de inscripción: http://www.x1redmassegura.com/p/inscripcion.html

Además, el día 10 de mayo tendrá lugar un taller dirigido a personas con discapacidad, gracias al Programa de Atención Integral a la Discapacidad del Ayuntamiento de Alcalá de Henares, que tendrá lugar en el Espacio Joven, situado en los bajos de la plaza de toros de Alcalá de Henares a las 18h. Los días 16 y 17 de Mayo se celebrará el evento principal en el auditorio de la Escuela Técnica Superior de Ingenieros de Telecomunicación (ETSIT) de la Universidad Politécnica de Madrid, localizada en la “Ciudad Universitaria”. Las jornadas comenzarán el viernes 16 a las 16:00 horas y finalizarán el sábado a las 14:30 horas. Al igual que los talleres, las jornadas van dirigidas a público no técnico y en ellas se tratarán problemas actuales como las estafas cibernéticas, malware (virus), nuestros derechos en la red, la nube, etc., explicado para ser entendido por todos los niveles.

A continuación os dejamos la dirección para llegar tanto a los talleres como al lugar donde se celebrarán las jornadas: http://www.x1redmassegura.com/p/ubicacion.html.

Mucha suerte con las Jornadas !

 

Tags: , , , , , , , , , ,

Disponible IOS 7.1.1 (solventa 19 vulnerabilidades)

Posted by Destroyer on abril 23, 2014
Sistemas Operativos

IOS 7.1.1Tal y como podemos leer en CSIRT-CV, Apple ha puesto a disposición de los usuarios a través de la actualización vía OTA desde el terminal (Información-actualización de software) o desde iTunes, la versión 7.1.1 de su Sistema Operativo móvil IOS. Esta versión solventa 19 vulnerabilidades de diverso impacto por lo que recomendamos su actualización con brevedad.

De todos los fallos resueltos, 16 residen en su motor “Webkit” y podrían llevar a la ejecución de código arbitrario en una página maliciosa preparada para tal fin (extracto):

Las mejoras incluidas incluyen la implementación de más mejoras en el sistema de reconocimiento de huellas digitales TouchID, la solución de un problema que afectaba a la capacidad de respuesta de los teclados y la corrección de un problema relacionado con el uso de teclados Bluetooth con VoiceOver activado.

Esta nueva versión está disponible para los dispositivos Apple iPhone 4 y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación.

Por otra parte, el primero de los problemas corregidos (CVE-2014-1296) reside en el tratamiento de las cabeceras http set-cookie que podría permitir a un atacante obtener el valor de la cookie. Un segundo problema (CVE-2014-1320) podría permitir a un usuario local leer punteros del kernel, lo que podría permitir saltar el ASLR (Address Space Layout Randomization) del kernel. Un tercer problema (CVE-2014-1295) podría permitir a un atacante capturar datos o cambiar las operaciones realizadas en sesiones protegidas con SSL.

Fuente original.

 

Tags: , , , , , , , ,

[Breves] Drupal 7.27 y 6.31, actualización de seguridad

Posted by Liamngls on abril 21, 2014
[Breves], Webmaster

Actualizaciones de seguridad Drupal 7.26 y 6.30Tal y como podemos leer en el sitio web de Drupal, se han publicado dos nuevas versiones de su CMS catalogadas como actualizaciones de seguridad. Aconsejamos actualizar con brevedad.

Noticia oficial | Detalles 7.27 | Detalles 6.31.

Tags: , , , ,

Revista gratuita fotográfica Foto DNG 92, Abril 2014

Posted by Destroyer on abril 20, 2014
Cibercultura

Como cada mes, ya tenéis disponible en este caso el número 92 de la revista Foto DNG (Año VIII), listo para descargar, también para ver en formato Flash online y versión iPad.

Una publicación que está orientada a usuarios que vengan del analógico como del digital. El formato es como siempre en pdf, y están licenciada bajo Creative Commons.

Desde Daboweb os recomendamos la descarga y visualización de Foto DNG, revista electrónica gratuita sobre fotografía, dirigida a todos los aficionados y profesionales de este ámbito.

Aprovechamos igualmente para invitaros a participar en nuestro foro de fotografía.

Tags: , , , ,

[Breves] Descarga disponible de WordPress 3.9 (versión final).

Posted by Destroyer on abril 16, 2014
[Breves], Webmaster

Descarga de WordPress 3.9Aún sin el anuncio oficial por parte de WordPress en su blog (pero sí en el Codex), acabamos de ver en nuestro panel de administración la disponibilidad de la versión 3.9. Para más información sobre mejoras y fallos corregidos, reproducimos lo publicado en Codex, y os dejamos un enlace al  Registro de cambios de la 3.9. La actualización está disponible desde el panel de administración o desde su sitio de descargas.

Como podéis leer a continuación, los cambios son muy interesantes:

Continue reading…

Tags: , , , , ,

WordPress 3.8.3 solventa bug en: “Borrador rápido” provocado por la 3.8.2

Posted by Dabo on abril 14, 2014
Webmaster

WordPress 3.8.3Unos días después de la actualización de seguridad para WordPress (importante actualizar) que se publicó bajo la numeración 3.8.2, desde WordPress liberan la versión 3.8.3 que llega para solventar un fallo en la opción “borrador rápido” del panel de administración.

Piden disculpas a los usuarios por ello, ya que consideran que cualquier pérdida de contenido es “inaceptable” y se toman muy en serio esa responsabilidad. Aunque (y razón no les falta, fallos cometemos todos) también dicen que: “no creen que nadie estuviese escribiendo una novela en ese formato” (por sus limitaciones frente a una entrada normal).

Se entiende su mensaje, ya que han hecho grandes esfuerzos desde ramas anteriores, para que el guardado automático sea efectivo y evite pérdidas de contenido accidentales. Como siempre, podéis aplicar esta versión de mantenimiento desde el menú actualizar del panel de administración.

Anuncio oficial.

Tags: , , ,

Guía de Seguridad para servidores DNS. Protege tu BIND9

Posted by Destroyer on abril 11, 2014
Seguridad Informática, Webmaster

Seguridad en Servidores DNS, BIND 9Para este fin de semana y tras el revuelo del bug en OpenSSL, os recomendamos la Guía de Seguridad en Servicios DNS, está orientada a BIND9 y por lo que hemos leído, totalmente recomendable tanto si mantenéis un servidor de nombres de dominio, o estáis pensando en hacerlo. La guia, ha sido publicada por INTECO-CERT.

Tal y como podemos leer en el Blog de Seguridad de INTECO:

DNS, acrónimo de Domain Name System, es un componente crucial en el funcionamiento de Internet y sin duda de gran importancia en el correcto flujo de comunicaciones en red. Gracias a DNS, se facilita el manejo de las comunicaciones entre los elementos de internet dotados de dirección IP. DNS mantiene y distribuye globalmente de forma jerárquica una “base de datos” donde se asocian nombres a direcciones IP y a la inversa de forma que sea mucho más sencillo de recordar y manejar por las personas.

Esta misión de DNS, en apariencia básica, conlleva una importante responsabilidad al constituir una base en las comunicaciones IP, por ello es de vital importancia mantener el sistema preparado para prevenir y contrarrestar las amenazas existentes contra este servicio. DNS por su extensión y diseño, está expuesto a numerosas amenazas, cuyos paradigmas fundamentales son, entre otros, denegaciones de servicio DoS por ataques de amplificación DNS , secuestro de dominios para redireccionar tráfico a sitios maliciosos, o envenenamiento de caché DNS de servidores para provocar resoluciones manipuladas de los dominios atacados.

Descarga en PDF (73 páginas).

Tags: , , , , , , , , ,

Actualización de seguridad para Adobe Flash Player (Windows, GNU/Linux y Mac OS X)

Posted by Destroyer on abril 09, 2014
Programas, Seguridad Informática

Según podemos leer en el blog de Adobe destinado a cuestiones de seguridad (ENG), se han publicado como actualizaciones de seguridad, nuevas versiones del reproductor Flash Player para sistemas Windows, GNU/Linux y Mac OS X.

Estos parches de seguridad, solventan varios bugs localizados en el software, siendo por tanto más que recomendable su inmediata actualización ya que bajo determinadas circunstancias, su explotación podría derivar en un fallo del sistema, pudiendo hacerse con su control por parte de potenciales atacantes.

Manual para comprobar la versión de Flash Player instalada.

Más información y versiones afectadas, (ENG) | Centro de descarga de Adobe Flash Player.

Tags: , , , , , , , , , ,

Actualizaciones de Microsoft abril 2014. Fin del soporte para Windows XP

Posted by Destroyer on abril 09, 2014
Seguridad Informática, Sistemas Operativos

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Abril de 2014.

En esta ocasión, se compone de 4 actualizaciones de seguridad, 2 catalogadas como críticas y 2 como imp0rtantes, que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la ejecución remota de código, elevación de privilegios,  etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible. Además, serán las últimas actualizaciones para Windows XP.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista, 7 y 8 instalado y ayuda a eliminarlas.

# Boletín y descarga de las actualizaciones.

Tags: , , , , , , ,

Disponible WordPress 3.8.2. Actualización importante de seguridad

Posted by Destroyer on abril 08, 2014
Seguridad Informática, Webmaster

WordPress 3.8.2 actualización de seguridadTal y como acaban de publicar en WordPress.org, está disponible la versión 3.8.2, catalogada como una actualización importante de seguridad, e inciden en que se actualicen las instalaciones con versiones anteriores a la mayor brevedad posible.

Se han solventado varios fallos de importancia relacionados con la autenticación y las cookies, junto a otro que permitiría a un usuario con el rol de “colaborador” publicar artículos sin estar autorizado. También mencionan mejoras en abusos vía pingbacks, un SQLi de bajo impacto y un posible XSS en la librería de terceros “Plupload” usada para subir ficheros a WordPress.

La actualización está ya disponible desde el panel de administración.

Podéis leer las notas de la release o consultar la lista de cambios

Tags: , , , , ,

Vulnerabilidad grave en OpenSSL. Versiones afectadas, info y parche para el “Heartbleed bug”.

Posted by Destroyer on abril 08, 2014
Seguridad Informática

Vulnerabilidad OpenSSL / SSL TLS hearbleed bug y parcheActualización: La mayoría de distribuciones están ofreciendo ya parches vía sus repositorios (Debian, Ubuntu, CentOS, etc). Por lo que vía aptitude / apt o yum, ya se pueden aplicar. Podéis comprobar si vuestro servidor es vulnerable desde http://filippo.io/Heartbleed.

Tal y como podemos leer en heartbleed.com, hablamos de una grave vulnerabilidad (CVE-2014-0160) en la popular biblioteca de software criptográfico OpenSSL. Este fallo, permite robar la información protegida bajo condiciones normales, por el cifrado SSL / TLS.

El tema es muy serio ya que SSL / TLS proporcionan una capa de seguridad y privacidad en las comunicaciones en un amplio espectro de Internet: aplicaciones web, pasarelas de pago, accesos a banca electrónica, correo electrónico, mensajería instantánea o algunas redes privadas virtuales (VPN).

El error “Heartbleed” permite a un atacante leer la memoria de los sistemas aparentemente protegidos por versiones vulnerables de OpenSSL. Este tipo de ataque puede comprometer las claves secretas que se utilizan para identificar a los proveedores de servicios y cifrar el tráfico, nombres de usuario y contraseñas, etc. Hablamos de comprometer comunicaciones que al estar usando SSL / TLS ya se entiende que son de naturaleza un tanto críticas caso de ser interceptadas con lo que ello supone.

¿Qué versiones de OpenSSL están afectadas?

OpenSSL 1.0.1 hasta la versión 1.0.1f (inclusive) son vulnerables
OpenSSL 1.0.1g No es vulnerable
OpenSSL rama 1.0.0 No es vulnerable
OpenSSL rama 0.9.8  No es vulnerable

Desde OpenSSL han publicado un parche para esta vulnerabilidad y os recomendamos aplicarlo con urgencia (o recompilar las versiones actuales con la opción: -DOPENSSL_NO_HEARTBEATS)

Tags: , , , , , , , , , , , , , ,

DebianHackers Elementals ya disponible (PDF, 56 páginas)

Posted by Destroyer on abril 07, 2014
Manuales y Tutoriales

DebianHackers ElementalsCon motivo del cuarto aniversario de DebianHackers, los cuatro miembros del equipo han publicado un PDF sobre Hacking, servidores, GNU/Linux, backups, programación, etc.

A continuación, reproducimos una parte de la intro que acompaña al post original y el índice de contenidos de este primer número:

Queríamos hacer algo especial por el cuarto aniversario de Debian Hackers, encontrar una nueva forma de daros las gracias por estar ahí y a la vez seguir difundiendo conocimiento libre. Y se nos ocurrió lanzar una publicación especial con el sello de la casa, un compendio de contenidos bien estructurados y maquetados, listos para servir. Una especie de guía de referencia de los artículos más didácticos del sitio aderezados con alguna novedad que seguro que no defrauda.

Así es como nace Debian Hackers Elementals. Casi 60 páginas en las que hablamos de redes, arquitectura de computadoras, programación, servidores GLAMP y mucho más. Una publicación en la que hemos invertido la misma ilusión y ganas con las que esperamos que la recibáis.

Índice de contenidos

  1. De puertos y firewalls

  2. Nmap: escáner de puertos

  3. Entendiendo la multiarquitectura en Debian GNU/Linux con Citrix

  4. Instalar Skype en Debian multiarquitectura

  5. S.M.A.R.T. monitoring

  6. Para programar, primero entiende a tu ordenador

  7. Entendiendo los lenguajes de programación

  8. Backups cifrados e incrementales en Debian y derivados

  9. Seguridad y optimización de servidores GLAMP

Acceso y descarga de DebianHackers Elementals.

Tags: , , , , , , , , , , , , , , ,

[Vídeo] Bitcoin: moneda y mercados en X Ciclo de Conferencias UPM TASSI 2014

Posted by Destroyer on abril 07, 2014
Cibercultura

Se encuentra disponible en el canal YouTube de la Universidad Politécnica de Madrid la tercera conferencia del X Ciclo UPM TASSI 2014, Temas Avanzados en Seguridad y Sociedad de la Información, de título “Bitcoin: moneda y mercados”, presentada el 20 de marzo de 2014 en el Campus Sur de la Universidad Politécnica de Madrid por D. Jonás Andradas, Auditor de Seguridad en GMV.

Presentación utilizada por el ponente y otras conferencias del ciclo.

Tags: , , , , ,