Daboweb | Seguridad y ayuda informática |

Hoy nos hemos enterado que el fabricante Lenovo ha instalado en sus equipos nuevos un adware denominado «Superfish». Tal y como leemos en Méneame (fuente),cuenta con las siguientes funciones:

«Superfish se instala en todos los nuevos ordenadores portátiles de Lenovo. El software inyecta anuncios de terceros en las búsquedas de Google y sitios web sin el permiso del usuario. Otros usuarios han informado de que el adware en realidad instala su propio certificado de autenticidad autofirmado que efectivamente permite que el software espie en las conexiones seguras«.

El fabricante ha publicado un comunicado asegurando que no lo volverá a hacer (faltaría más,qué poca vergüenza) incluyendo un tutorial para desinstalar el adware (incluyendo el certificado).

Acaba de ser liberada una actualización para la rama 3.1.x de los foros phpBB considerada como de seguridad y de mantenimiento ya que soluciona un problema de seguridad, corrige algunos errores previos e incluye novedades en el manejo de las extensiones de cara al comportamiento del sistema de foros.

Noticia original (eng). Descarga.

Se acaba de lanzar una actualización para la rama 3.0.x de phpBB catalogada como de seguridad y mantenimiento. Esta actualización es únicamente para la rama 3.0.x, los que estén usando la rama 3.1.x no tienen necesidad de actualizar.

Entre otras cosas esta versión mejora aún más la compatibilidad con PHP 5.6, Apache 2.4, Internet Explorer 11 y Microsoft Azure.

Noticia original (eng). Descarga.

Nos hacemos eco del lanzamiento de la versión 5.4.37, la versión 5.5.21 y la versión 5.6.5 de PHP.

Estas nuevas versiones de cada rama solventan varios bugs y vulnerabilidades, por lo que se recomienda actualizar las versiones anteriores.

Notas sobre los cambios.

Moodle 2.8.2, 2.7.4 y 2.6.7 están ya disponibles desde el lugar habitual de descargas: https://download.moodle.org o Git. En estas nuevas versiones, se han corregido cuestiones de uso a nivel general y lo que es más importante, de seguridad. Es por ello que se recomienda actualizar a las nuevas versiones a la mayor brevedad posible. Se pueden encontrar todos los detalles en los siguientes enlaces:

• Moodle 2.8.2 release notes
• Moodle 2.7.4 release notes
• Moodle 2.6.7 release notes

Nota: La rama 2.6 sólo recibe ahora actualizaciones de seguridad.

Vaya de parte de todo el team de Daboweb, un «Feliz y seguro 2015» muy especial para todos nuestros lectores. Un año este 2015, que seguro se presentará con nuevos retos y amenazas en cuestiones de seguridad.

Amenazas y riesgos que intentaremos ayudar a gestionar, poniendo nuestro granito de arena desde aquí junto a vosotros. Sin más y deseando que tengáis una gran entrada de año, os dejamos con la postal que como siempre, nuestra Danae ha creado para la ocasión.

Feliz 2015 !!!

Esta entrada a diferencia de las del resto del año, no tiene nada que ver con la seguridad. Desde Daboweb os deseamos una Feliz Navidad y que tengáis una buena noche tanto para los que lo celebráis, como para quienes «tenéis que pasarla». Son unos días especiales por muchos motivos y vaya desde aquí nuestra felicitación y agradecimiento por estar ahí (todo el año;).

Muchas gracias Danae por tu postal !

Continue reading…

Se ha liberado la que en principio y salvo catástrofe inesperada va a ser la última versión de la rama 2.5 de Joomla! que tiene fecha de caducidad en cuanto al soporte de la misma y es el día 31 de este mismo mes. Es una versión de mantenimiento que soluciona 25 errores en las versiones precedentes.

Anuncio oficial: 2.5.28

Se ha liberado una nueva actualización para la última versión del sistema de foros phpBB debido a que se han encontrado algo más de 30 problemas desde la liberación de phpBB 3.1.0

La actualización incluye la corrección de dos problemas menores de seguridad y la mayoría de los problemas están relacionados con la actualización de 3.0 a 3.1 con lo cual se recomienda actualizar a la mayor brevedad posible.

Anuncio oficial, página de descarga.

Tal y como podemos leer en el sitio web de Drupal, se han publicado dos nuevas versiones de su CMS catalogadas como actualizaciones de seguridad. Ambas versiones comparten un fallo de seguridad catalogado como moderadamente crítico por el cual un usuario podría acceder a la sesión de otro en sitios que sirven páginas tanto http como https aunque el mismo podría dar lugar a otro tipo de ataques no concretados.

Para la versión 7 y con la misma catalogación hay un fallo de seguridad que puede provocar una denegación de servicio enviando peticiones que afecten directamente a la CPU del servidor a través de la API que gestiona el hash de las contraseñas para evitar que se guarden en texto plano.

Noticia oficial | Detalles 7.34 | Detalles 6.34.

Desde hace unas horas está disponible Drupal 7.33, en esta ocasión, se trata de una versión de mantenimiento y no solventa fallos de seguridad (como lo hacía la anterior, extremadamente crítica). Los detalles en las notas de la release.

Se ha liberado la primera actualización para la última versión del sistema de foros phpBB debido a un problema de seguridad encontrado, catalogado como de nivel bajo.

A través de una auditoría de seguridad completa se ha descubierto una vulnerabilidad XSS que afectaría a los usuarios con las versiones más antiguas de los navegadores, se habla de versiones del año 2009 ó anteriores. Desde el equipo de phpBB recomiendan actualizar a la mayor brevedad a todo el mundo para evitar riesgos innecesarios.

Anuncio oficial, página de descarga.

Vía phpbb-es nos enteramos del lanzamiento de Ascraeus, la última versión estable de uno de los sistemas para foros más usados a lo largo y ancho de la red. Es una actualización mayor con muchas novedades y cambios en los requisitos mínimos para correr el foro.

• Se requiere la versión de PHP 5.3.3 o superior.
• Se requiere la extensión json de PHP.
• Para los usuarios de PostgreSQL, sólo se admiten las versiones 8.3 y superiores.

Anuncio oficial, página de descarga.

Tal y como podemos leer en el sitio web de Drupal, se ha liberado la versión 7.32 como actualización de seguridad (corrige una vulnerabilidad muy crítica) y ya está disponible para su descarga. Para más información, os recomendamos leer las notas de la release.

El problema reside en que Drupal 7 incluye una API para prevenir ataques de inyección SQL y precisamente una vulnerabilidad en esa API, permite a atacantes remotos enviar una petición especialmente manipulada para tal fin, con el resultado de la ejecución arbitraria de SQL. Dependiendo del contenido de dicha petición, estos ataques pueden tener como resultado final una escalada de privilegios, la ejecución arbitraria de código PHP, u otros ataques.

Esta vulnerabilidad en Drupal ha sido catalogada como: «altamente crítica», por lo que se recomienda actualizar a la versión 7.32 lo antes posible.

Como sabéis, las versiones 3.3.5 y 2.5.26, traían consigo fallos (en el componente de actualizaciones del núcleo y restablecimiento de la contraseña de usuario) y se han liberado nuevas versiones, por lo que os recomendamos instalarlas a la mayor brevedad posible. Información y descarga: Joomla 3.3.6 | 2.5.27.