Daboweb | Seguridad y ayuda informática |

El pasado día 6 os informamos sobre la versión 2.5.2 de Joomla y la necesaria actualización, hoy volvemos a traer a nuestra portada a un CMS con tanta presencia como Joomla para recomendaros que actualicéis lo antes posible a la versión 2.5.3 que solventa dos vulnerabilidades catalogadas como de un impacto «alto» por sus creadores.

Sobre los bugs corregidos (ENG):

• High Priority – Core – Privilege Escalation. More information »
• High Priority – Core – Password Change. More information »

Anuncio de la versión 2.5.3 (ENG).

Aún con el anuncio oficial el pasado día 9 de Febrero en el que se daba por cerrado el ciclo de actualizaciones de Debian 5.0x («Lenny») y con ello, la situación de inseguridad del sistema en el que se ejecute esta rama de la distribución, Debian demuestra una más vez su compromiso con la comunidad de usuarios liberando (al igual que hizo con «Etch») la última actualización con el número de «release» 5.0.10.

Tal y como dije en mi primera participación para el Blog de INTECO, estos temas no son menores, aún con la recomendación de actualizar a Debian «Squeeze» (6.x), la actual versión estable, si vuestros servidores están con «Lenny», no dudéis en parchearlos.

Fuente y más info en DebianHackers.

La futura versión 3.1, de nombre «Ascraeus» del sistema de foros phpBB requerirá una versión de PHP 5.3.2 ó superior. En las versiones 3.0.x el requerimiento mínimo es la versión 4.3.3 aunque la última versión del CMS, la 3.0.10 soporta PHP 5.3

Entre las razones esgrimidas para dar el salto a la última versión de PHP en medio del desarrollo de la nueva versión de phpBB se encuentra, principalmente, la de que la versión 5.2 está descontinuada por el equipo de desarrollo oficial y no recibe actualizaciones desde Julio del año 2010 (aunque en realidad obtuvo una nueva actualización en Enero de 2011, la 5.2.17) además de poder utilizar Symfony que está completamente desarrollado en PHP 5.3

Aún es pronto para preocuparse por esto ya que en la nota oficial afirman que la futura versión sigue en desarrollo y que falta todavía mucho tiempo para que sea necesario actualizar la versión de PHP. Lo cual no quita que siempre que sea posible se utilice la última versión estable.

Si el pasado día 2 nos hicimos eco de una nueva versión de Drupal, hoy es otro CMS tan implantado como Joomla, el que necesita ser parcheado con los cambios que trae consigo en forma de actualización de seguridad, la versión 2.5.2.

Concretamente, se trata de dos bugs de impacto medio y alto:

• Prioridad alta      – Core – SQL Injection. Más info (ENG)
• Prioridad media – Core – XSS Vulnerability. Más info (ENG)

Anuncio original en Joomla. (ENG).

Drupal 6.25, ha sido liberado como versión de mantenimiento que solventa algunos errores localizados en el CMS (gestor de contenidos). Aunque tal y como informa su equipo de desarrollo no hay actualizaciones de seguridad, es más que recomendable instalar esta versión.

Nota oficial | Descargas.

Pocos días después del lanzamiento de la versión 10.0.1, según leemos en INTECO -CERT, Mozilla ha liberado la versión 10.0.2 de su navegador Firefox. Dicha release, solventa una vulnerabilidad catalogada como crítica (MFSA 2012-11. Un «integrer overflow en libpng), así como otros problemas con «applets» de Java. Podéis actualizar directamente desde el propio navegador.

Esta es una noticia de este fin de semana que se nos quedó en el tintero «electrónico», pero por si no estáis al tanto sirva a modo de recordatorio. Sólo unos días después del lanzamiento de estas nuevas versiones de productos de la factoría Mozilla, llega una actualización crítica de seguridad para Firefox 10.0.1 Thunderbird 10.0.1 y SeaMonkey 2.7.1. Podéis actualizar de forma automática, más info en INTECO.

Sacado de los foros, nuestro compañero shicefgo nos comenta lo siguiente:

 

Hola.
No sé si por aquí pasará mucha gente interesada en esto, pero me ha parecido que no estaría de más comentarlo.

Si tenemos por casa un teclado de piano con soporte midi, podemos conectarlo a nuestro linux con el conector um-one de Roland, y con la ayuda de los programas rosegarden y qjackctl, hacer que el ordenador grabe y escriba las partituras de lo que toquemos o que nos reproduzca la música legible por rosegarden a través de nuestro pianillo. El UM-ONE tiene un conector usb que va al ordenador y dos conectores midi de 5 pines que van a los input y output del teclado, y en medio una especie de tarjeta de sonido, para entendernos. Esto es más barato que una interfaz midi profesional y para darse el capricho de montar nuestro pequeño estudio de sonido puede servir.

No confundir con el um-1, que parece que se pronuncian igual pero son diferentes.

Hasta hace un par de semans, o algo menos, no apareció incorporado al kernel 3.2.0. Los kernels anteriores tienen soporte para otros conectores midi parecidos, pero según me dijeron en la tienda, Roland ha dejado la mayoría obsoletos y parece ser que el que venden últimamente en las tiendas es el um-one.

Y es tan fácil como conectarlo al piano y al ordenador, cargar los programas rosegarden y qjackctl (alguna configuración puede que haga falta en éstos, pero en internet hay info), y a cantar. 😉

Saludos.

Canonical ha anunciado en un boletín de seguridad,una actualización del Linux Kernel para Ubuntu 10.10 (Maverick Meerkat), esta actualización solventa 3 vulnerabilidades de diferente impacto para el sistema. La solución pasa por actualizar el Kernel (linux-image) de la versión 2.6.35-32 a la 2.6.35-32.64.

Más información sobre los bugs; CVE-2011-1162, CVE-2011-2203, y CVE-2011-4110.

Según podemos leer en el blog de desarrollo de WordPress, la versión 3.3.1 ya está ya disponible para su descarga. Esta nueva entrega del CMS, solventa 15 fallos localizados en la anterior versión (WordPress 3.3). Notas de la versión 3.3.1.

Entre lo más destacable, solventa una vulnerabilidad (cross-site scripting) de la version 3.3.. | Descarga de WP 3.3.1.

Un mes más, te recomendamos el recopilatorio de entradas publicadas en Daboweb en Diciembre de 2011, por si en el día a día de la publicación, alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

diciembre 2011

• 31: Desde Daboweb os deseamos un feliz y seguro 2012
• 27: [Breves] Foros SMF 2.0.2 y 1.1.16 solventan vulnerabilidades críticas
• 27: Fallo de seguridad en el navegador de Android
• 24: Nuestra tarjeta de Navidad
• 22: [Breves] phpMyAdmin 3.4.9 solventa dos vulnerabilidades XSS
• 21: Pablo Soto, creador de programas P2P, es declarado inocente
• 21: Firefox 9 ya disponible para Windows, GNU/Linux y Mac OS X (cada vez más rápido)
• 14: Actualizaciones de Microsoft Diciembre de 2011
• 13: Megaupload demanda a la discográfica Universal
• 13: WordPress 3.3 “Sonny”. Versión final, descarga disponible
• 07: Revista electrónica de seguridad (IN)SECURE Magazine, número 32.
• 06: [Breves] Drupal 7.10 Released
• 04: 0-day en Yahoo Messenger
• 02: Publicado en Daboweb. Noviembre de 2011
• 01: [Breves] Abierto el registro para el Congreso de Seguridad Rooted CON 2012

El equipo de desarrollo del sistema de foros SMF, ha liberado dos nuevas versiones para las ramas 2.x y 1.1x que solventan vulnerabilidades catalogadas por ellos como críticas. Debido a este hecho, se recomienda parchear los foros a la mayor brevedad posible.

Recordad que para actualizar hay que poner el foro en mantenimiento, después como idioma «english» y una vez parcheado, hay que ejecutar el script (y luego borrarlo) www/miforo/upgrade.php. Más info y descarga de las versiones 2.0.2 y 1.1.16.

Drupal 7.10, acaba de ser liberado viniendo a solventar numerosos errores localizados en el CMS (gestor de contenidos). Aunque tal y como informa su equipo de desarrollo no hay actualizaciones de seguridad, es más que recomendable instalar esta versión.

Lista de cambios completas | Descargas.

Empieza la cuenta atrás para el inicio de la tercera edición de la Rooted CON, uno de los eventos relacionados con la seguridad informática más importantes del panorama nacional.

Además, estrenan una nueva web donde ya se han publicado los precios (difieren según las fechas) para poder realizar la inscripción desde hoy, así como otros datos de interés para quienes vayan a Madrid los días 1, 2 y 3 de Marzo.

Acceso y más info; http://www.rootedcon.es

De todos es sabido que una configuración correcta de PHP hablando de servidores web es vital para evitar «sustos» o ataques hacia nuestras máquinas. Si eres un administrador de sistemas o estás interesado en estas cuestiones, os recomendamos leer (en Inglés) estos 25 ejemplos para mejorar la seguridad de instalaciones en las que se ejecute PHP.

Acceso a; «25 PHP Security Best Practices For SysAdmins«