Daboweb | Seguridad y ayuda informática |

Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.5.1 y que solventa 37 bugs respecto a la entrega anterior (3.5). Además, podemos encontrar mejoras en el editor, librería multimedia, posts programados, API, etc.

Respecto a cuestiones de seguridad, se ha solventado una de la que ya nos hicimos eco relativa a escaneos de puertos y pingbacks que afecta a todas las versiones anteriores, además de tres XSS de diferente impacto (rel: «shortcodes», contenido de los post y la librería externa «Plupload»).

La actualización está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

Se encuentran disponibles para su descarga Drupal 7.19 y 6.28, son versiones de mantenimiento que contienen actualizaciones de seguridad para varias vulnerabilidades reportadas en el CMS por lo que es importante actualizar con brevedad.

Más info y descarga. Notas de las versiones Drupal 7.19 and Drupal 6.28 (ENG).

El pasado 16 de diciembre (se nos pasó publicarlo, pero se están detectando ataques con éxito en versiones vulnerables) el equipo de SMF puso a disposición de los usuarios las versiones 2.0.3, 1.1.17 y 1.0.23 de su sistema de foros. Las actualizaciones solventan un fallo de seguridad de impacto alto en todas las ramas, así como otros menores para la 2.0.x.

Recomendamos por tanto actualizar a la mayor brevedad posible todas las instalaciones de SMF.

(El método más cómodo para hacerlo, es desde el administrador de paquetes integrado en el panel de admin del foro si sólo se trata de parchear desde una versión anterior).

Además de los comentados, ayer, desde Packet Storm, se reportó una vulnerabilidad que afecta a la actual rama estable 2.0X a través de la cual es posible ver las rutas de instalación en el servidor (Path Disclosure). Tan sólo aclarar que este bug es real, pero sólo surte efecto si en php.ini el valor display_errors está = On (para que muestre los errores). Desde WHK Security (la fuente original y donde se reportó el bug) ofrecen una solución temporal hasta que el equipo de SMF lo solvente en futuras versiones.

Tal y como podemos leer en Ayuda WordPress, se ha reportado una vulnerabilidad XSS explotable a través del plugin Jetpack para WordPress. Comprobad si se está ejecutando desde el navegador a través de tusitio.com/wp-content/plugins/jetpack/modules/custom-css/csstidy/css_optimiser.php.

En la fuente original se menciona un XSS en CSSTidy (css_optimiser.php) y se puede ver que data de julio de 2010...

Dicho fichero (más info en el trac) ha sido ya eliminado (borradlo en vuestro blog) el plugin funciona sin problemas.

Se encuentran disponibles para su descarga Drupal 7.18 y 6.27, son versiones de mantenimiento que contienen actualizaciones de seguridad para varias vulnerabilidades reportadas en el CMS por lo que es importante actualizar con brevedad.

Más info y descarga. Notas de las versiones Drupal 7.18 and Drupal 6.27 (ENG).

Tal y como podemos leer en el blog de desarrollo de WordPress, la nueva versión 3.5 además corregir diversos fallos localizados en versiones anteriores, viene con importantes mejoras principalmente en la gestión de galerías, así como en el manejo de la biblioteca multimedia (organización, subida de ficheros, etc).

También hay mejoras en el tema por defecto (Twenty Twelve) que ahora está mejor adaptado a dispositivos móviles. Se han afinado los estilos del panel de administración (gráficos más depurados, selector de color y otros aspectos de menor utilización en el panel).

Desde este enlace podéis ver un vídeo con las nuevas funcionalidades. La lista al completo de cambios (ENG).

Descarga de WordPress 3.5 | Consulta nuestra guía de actualización de WordPress.

Se han publicado sendas actualizaciones para las ramas 3.x y 2.5.x que corrigen un problema de seguridad que afecta las versiones 3.0 y 2.5.7 y anteriores. En el caso de la rama tres se soluciona actualizando a la versión 3.0.1 (wtf?) mientras que en la rama 2.5.x con la versión 2.5.8, ésta última además soluciona 9 errores.

La versión 3.0.2 viene más completa, soluciona 50 errores e incluye una nueva característica. Se recomiendo actualizar a la mayor brevedad posible.

Noticias en la web de Joomla! con información completa y enlaces de descarga (en inglés): 3.0.2 y 2.5.8

Si tienes pensado instalar un foro basado en phpBB, te recomendamos este curso gratuito de Floqq para hacerlo. Y nadie mejor que Raúl, «ThE KuKa», responsable de la comunidad amiga phpbb-es.com (soporte oficial en castellano de phpBB) para impartirlo debido a la gran experiencia que tiene.

La fecha del curso es el próximo día 20 de noviembre a las 19 h y será impartido a través de un Hangout (accesible con una cuenta de Google +), siendo la duración estimada de 1 hora. Mucha suerte con el curso tanto a los alumnos como al profesor ;).

El equipo de Drupal ha anunciado el lanzamiento de una nueva entrega de su CMS bajo la versión 7.17. Tal y como se aclara en el título, se trata de una versión de mantenimiento que corrige numerosos bugs relativos a su funcionamiento.

En este caso no hablamos de una actualización de seguridad, aunque se recomienda a todos los usuarios su actualización. Para conocer todos los cambios, os recomendamos ver las notas de la versión.

Tal y como podemos leer en el sitio web de Drupal, se ha liberado la versión de Drupal 7.16, una versión de mantenimiento que solventa vulnerabilidades en el CMS (SA-CORE-2012-003) por lo que es más que recomendable actualizar a la mayor brevedad posible.

Notas de la versión | Anuncio original.

El equipo de desarrollo de Joomla acaba de publicar una noticia que muchos estaban esperando. La versión 3.0.0 de Joomla ya está disponible para su descarga y con ella, llegan grandes novedades tal y como podemos leer en en el anuncio del lanzamiento (ENG).

También se ha lanzado la versión 2.5.7 que solventa entre otros, 2 fallos de seguridad. Es importante recordar que el soporte para la rama 1.5x finaliza y es más que necesario actualizar dichas instalaciones bien a la 2.5 / 3.0 para evitar futuros problemas de seguridad.

A través de una información publicada en S21sec, ayer pudimos saber que uno de los proyectos con más peso en cuanto a la administración de bases de datos MySQL vía web, tuvo un problema de seguridad que afectó a uno de los «mirrors» desde el que se distribuye phpMyAdmin. En concreto, la web del proyecto informa que la versión afectada fue «3.5.2.2-all-languages.zip«.

La recomendación ante la duda es reinstalar o comprobar si la versión instalada contiene un fichero con el nombre de server_sync.php

Según podemos leer en el sitio web de Joomla, se acaba de liberar una nueva versión (2.5.7) del popular CMS. Esta release viene a solventar dos vulnerabilidades, (en el «core» del CMS, en concreto dos XSS, [20120901] – [20120902], así como otros fallos localizados en el software.

A pesar de que están catalogados como «de prioridad baja», se recomienda actualizar a la mayor brevedad posible.

Desde el blog de desarrollo de WordPress, nos llega el aviso del lanzamiento de una nueva versión. Esta entrega del CMS (3.4.2) está catalogada como de mantenimiento / seguridad y viene a solventar 20 bugs, tal y como informan en el área de la administración una vez que se instala.

Debido al alcance de los problemas resueltos y las mejoras que aporta, es más que importante aplicar la actualización lo antes posible.

Lista de cambios:

• Fixes some issues in the admin area where some older browsers (IE7, in particular) may slow down, lag, or freeze.
• Fixes an issue where a theme may not preview correctly, or its screenshot may not be displayed.
• Fixes the use of multiple trackback URLs in a post.
• Prevents improperly sized images from being uploaded as headers from the customizer.
• Ensures proper error messages can be shown to PHP4 installs. (WordPress requires PHP 5.2.4 or later.)
• Fixes handling of oEmbed providers that only return XML responses.
• Addresses pagination problems with some category permalink structures.
• Adds more fields to be returned from the XML-RPC wp.getPost method.
• Avoids errors when updating automatically from very old versions of WordPress (pre-3.0).
• Fixes problems with the visual editor when working with captions.

Version 3.4.2 fixes a few security issues and contains some security hardening. These issues were discovered and addressed by the WordPress security team:

• Fix unfiltered HTML capabilities in multisite.
• Fix possible privilege escalation in the Atom Publishing Protocol endpoint.
• Allow operations on network plugins only through the network admin.
• Hardening: Simplify error messages when uploads fail.
• Hardening: Validate a parameter passed to wp_get_object_terms().

Nuestra guía para actualizar WordPress (aparte de la actualización a «un click» desde el Dashboard).

El equipo de desarrollo del sistema de foros phpBB acaba de anunciar la nueva versión «Bertie’s long summer vacation» etiquetada como la 3.0.11, de mantenimiento que viene a corregir diferentes errores.

Además se ha mejorado la compatibilidad con PHP 5.4 y añadido un aviso sobre la versión mínima requerida para phpBB 3.1 orientada a usuarios con instalaciones de PHP antiguas.

Como siempre recomiendan actualizar a la mayor brevedad posible informando que solo darán soporte a las actualizaciones orientadas a esta versión y los problemas surgidos en la misma (nada nuevo bajo el sol).

Recordamos la conveniencia, siempre, de realizar copias de seguridad de los datos antes de proceder a actualizar.

Información sobre phpBB 3.0.11 | Zona de Descargas |