Daboweb | Seguridad y ayuda informática |

Con un poco de retraso (problemas con el RSS), traemos una nueva actualización del sistema de foros SMF que corrige unas pocas vulnerabilidades encontradas en la versión anterior.

Además,  como la última vez, anuncian una nueva versión de la rama de desarrollo 2, la 2.0 RC1.2 , eso sí recordar que es una versión no estable y que no es recomendable ponerla en producción.

Los usuarios de la versión 1.0.x deben actualizar a la versión 1.0.18. Se puede actualizar a través del panel de administración o vía FTP. Os dejo una pequeña guía escrita por Dabo para actualizar sin problemas:

Tutorial para actualizar foros SMF (by Dabo).

1– Ponéis el foro en mantenimiento y el idioma en Inglés (si no, os dará fallo).

Continue reading…

Nueva versión de WordPress que corrige una vulnerabilidad XSS que afectaba a las url’s de los comentaristas en el Panel de Admin (Tablero para los amigos) que hacía posible poder ser redirigido a un tercer sitio web.

Actualización muy recomendada. Y como siempre, el Dabo-how-to 😉

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero (en este momento no sale el aviso) pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

Como agua de Mayo (en pleno Julio) y recién salida del horno llega la actualización, la primera, de la última versión estable de WordPress corrigiendo un buen puñado de errores detectados, como aquel dice, según estaban pariendo al niño.

En lo particular hemos de decir que ninguno de los componentes del Team de Daboweb hemos tenido problemas con nuestros blogs personales y este en el que escribo, y que también corre sobre WordPress, tampoco ha habido ningún problema destacable.

En cuanto al mayor problema existente con algunos plugins y los permisos de usuario se ha corregido y se ha añadido un extra en seguridad sobre este tema como novedad, además destaca también la reducción del uso de memoria del Tablero y más cosas que puedes ver aquí.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y varias vulnerabilidades de seguridad críticas de riesgo moderado; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Desde la web de Drupal recomiendan instalar la nueva versión en lugar de utilizar el parche ya que estos no corrigen todos los bugs solucionados, solamente las vulnerabilidades críticas. Del mismo modo se informa de que esta nueva actualización no pisa los archivos .htaccess, robots.txt y settings.php (el que va por defecto) como venía siendo habitual en las últimas versiones/actualizaciones; aún así desde aquí recomendamos hacer copia de estos archivos, de la base de datos y de cualquier archivo importante por lo que pudiera pasar.

• Anuncio oficial.
• Descarga versión 6.13
• Descarga versión 5.19
• Parche versión 6.12
• Parche versión 5.18

Nueva actualización para Joomla!, 1.5.12 de nombre Wojmamni Ama Woi y con 25 errores corregidos y tres actualizaciones de seguridad de nivel moderado.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.

Descarga paquete completo 1.5.12.

Anuncio oficial con toda la información.

Uno de los quebraderos de cabeza de quien mantiene un sitio web puede ser la instalación de añadidos o «mods» en el CMS que utilizan. Se trata normalmente de módulos creados por terceros o por el mismo equipo que desarrolla el gesto de contenidos para implementar nuevas funcionalidades o mejoras.

En este caso, refiriéndonos al sistema de foros phpBB, acaban de liberar la versión 1.0.0-RC 2 (Release Candidate, versión no final) de AutoMOD, una herramienta para instalar módulos en phpBB de forma automatizada sin tener que editar nada manualmente por parte de quien los implementa. Ellos en buena lógica avisan que no se use en sitios web en producción, si para hacer pruebas localmente o por parte de quien esté desarrollando módulos para phpBB.

En la sección de descargas también hay traducciones para otros idiomas diferentes al inglés. Sólo recordar que en ocasiones, un módulo creado por terceros, puede que por una falta de actualización lleve a sufrir problemas de seguridad en vuestro CMS. Por este motivo, hay que estar al tanto del estado de desarrollo de los módulos que se usen al igual que se hace con el propio CMS.

Más información en el blog de phpBB | Sección de AutoMOD | Cambios nueva versión (ENG).

Bajo el nombre del trompetista y vocalista Chet Baker, ha sido liberada para descarga, instalación y/o actualización la versión estable y, de momento, definitiva de WordPress, la 2.8

Como es costumbre por estos lares recordamos como actualizar el más popular de los CMS para su uso en blogs:

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos)

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

Nueva actualización para Joomla!, 1.5.11 de nombre Vea y con 26 errores corregidos y dos actualizaciónes de seguridad de nivel moderado y una de nivel bajo.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.

Descarga paquete completo 1.5.11.

Anuncio oficial con toda la información.

El equipo de desarrollo del sistema de foros phpBB acaba de anunciar la nueva versión «quite furry» etiquetada como la 3.0.5.

Anuncian la corrección de numerosos fallos desde la anterior 3.0.4, algunos de estilo, uno de seguridad y además de dotar al CMS de alguna nueva característica (no muy importante), se informa de un aumento del rendimiento y escalabilidad.

Hay mejoras el sistema de CAPTCHA (antispam), el el registro, búsquedas, una nueva opción de búsqueda en la cual el admin decide el número máximo de palabras permitidas para buscar, mejoras en el actualizador de la base de datos así como en MySQL, reproducción en Flash, etc. Desde phpBB se recomienda actualizar urgentemente.

Información sobre phpBB 3.0.5 | Zona de Descargas |

El popular gestor de foros ha lanzado una nueva actualización, la 1.1.9., que viene a solventar algunos vulnerabilidades encontradas en la versión anterior. Se recomienda actualizar lo antes posible a esta nueva versión.

Además, en el tema del anuncio, informan de que han lanzado una nueva versión de la rama de desarrollo 2, la 2.0 RC1-1 y que se puede actualizar igualmente a esta nueva versión, eso sí recordar que es una versión no estable y que no es recomendable ponerla en producción.

Los usuarios de la versión 1.0.x deben actualizar a la versión 1.0.17. Se puede actualizar a través del panel de administración o vía FTP, esta nueva versión podría dar problemas actualizando desde el panel y entonces sí o sí habría que hacerlo manualmente. Os copio una pequeña guía escrita por Dabo para actualizar sin problemas:

Tutorial para actualizar foros SMF (by Dabo).

1– Ponéis el foro en mantenimiento y el idioma en Inglés (si no, os dará fallo).

Continue reading…

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y una vulnerabilidad de seguridad crítica de Cross site scripting; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Aparte de las copias de seguridad que hay que hacer siempre antes de actualizar un CMS hay que tener en cuenta que la actualización a las versiones 6.12 y 5.18 pisa los archivos .htaccess y robots.txt con lo cual hay que prestar especial atención a la hora de salvar estos archivos, especialmente si los hemos personalizado ya que perderíamos los cambios realizados.

• Anuncio oficial.
• Descarga versión 6.12
• Descarga versión 5.18
• Parche versión 6.11
• Parche versión 5.17

Desde hace varios días cantidad de foros que usan SMF como gestor de contenidos están sufriendo ataques y siendo infectados  mediante una inyección de código php a través de la carpeta de avatares de los usuarios.

El usuario malicioso, mal llamado hacker, usa comunmente el nick Krisbarteo, aunque podría usar otros como Boommurne o alguno de los de esta lista.

Lo que hace, básicamente, es subir un avatar en formato .jpg que contiene un código php que crea en el servidor tres archivos (style.css.php, s.php y dg.php) para luego añadir a todos los archivos php del servidor un código codificado en base64; no se sabe el alcance real del ataque pero se presupone que en principio sea usado para hacer spam.

¿Cómo sé si estoy infectado?

La desaparición de avatares en el foro es el síntoma más claro, también se puede revisar el log de errores del foro y buscar el siguiente mensaje: 8: Undefined index: dhhag.

¿Cómo me desinfecto?

La reinstalación de una copia de seguridad completa es el proceso más rápido y efectivo, por eso nunca nos cansaremos de recordar la importancia de tener copias de seguridad periódicas y en buen estado.

Para la opción larga y tediosa dejo un enlace abajo.

No estoy infectado, ¿cómo evito que me suceda?

Desde el panel de admnistración del foro vamos a Archivos adjuntos y avatares, Configuración de avatares y escogemos la opción Negar para la subida de avatares a los usuarios nuevos; recordar que se pueden crear grupos de usuarios por mensajes y que esta opción es precisamente útil para casos como este. Cerrar el registro u obligar a la activación por parte de un administrador es otra opción, bastante más radical e innecesaria.

Vía: Nimiedad (con explicación para desinfección paso a paso).

Discusión en foros SMF (Inglés).

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y una vulnerabilidad de seguridad crítica de Cross site scripting; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Aparte de las copias de seguridad que hay que hacer siempre antes de actualizar un CMS hay que tener en cuenta que la actualización a las versiones 6.11 y 5.17 pisa los archivos .htaccess y robots.txt con lo cual hay que prestar especial atención a la hora de salvar estos archivos, especialmente si los hemos personalizado ya que perderíamos los cambios realizados.

• Anuncio oficial.
• Descarga versión 6.11
• Descarga versión 5.17
• Parche versión 6.10
• Parche versión 5.16

Nueva actualización para Joomla!, 1.5.10 de nombre Wohmamni y con 66 errores corregidos y una actualización de seguridad de nivel moderado.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.

Descarga paquete completo 1.5.10.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Como muchos sabéis, esta comunidad desde su primer día de vida ha estado alojada con Interdominios y a lo largo de estos años nos han apoyado hasta el punto de que hoy en día, nuestro servidor está patrocinado por ellos.

Desde Daboweb queremos desearles mucha suerte en esta nueva andadura y lógicamente si a nosotros nos va bien con ellos, no dudamos en recomendarte sus servicios -;).

A continuación, reproducimos la nota de prensa que nos ha llegado sobre la apuesta de Interdominios por los servidores virtuales VPS X-SERVE bajo Mac OS X Leopard con grandes funcionalidades para usuarios de Mac como podéis ver en este apartado.

Lanzamiento de VPS X-SERVE;

Interdominios lanza el primer VPS X-SERVE virtualizado de Mac, convirtiéndose en el primer ISP Español en ofrecer este servicio, siendo la primera compañía de hosting que apuesta por lanzar al mercado la versión definitiva de los Xserve-virtuales por solo 199 €/Mes.

La tecnología Parallels ha hecho posible la creación de un contenedor aislado con una cantidad definida de recursos lo cual permitirá la división del servidor Xserve cuya tecnología mejorada cuenta con procesadores de 64bits, soportando hasta 32GB  de RAM aumentando el rendimiento hasta en un 60% más.

Además, funcionan sobre el sistema operativo OS X Leopard e incluyen la consola remota de Parallels para reiniciar, encender o apagar el servidor, pulsando tan solo un botón y desde cualquier lugar. Esto permitirá a los clientes de este servicio total control de gestión y administración sobre su servidor virtual Mac.

Según la ultima encuesta realizada por la consultora Enterprise Desktop Alliance a 314 empresas, han mostrado que el 74% de ellas planea pasar sus equipos a Mac. Este cambio de filosofía en las empresas responde a una nueva percepción por parte de los profesionales de la mejora en la productividad, según el mismo estudio el 60% de los administradores de equipos y redes apuestan por la tecnología Mac. Apostando por el alto rendimiento y fiabilidad ofrecidos por todos los equipos Mac, y destacando principalmente el rendimiento de los servidores Xserve.

Xserve es el primer server virtualizado del mundo con OS X Leopard. El Xserve incluye un rápido bus a 1.600 MHz y una memoria a 800 MHz que dan como resultado una banda de memoria más ancha. Las velocidades de almacenamiento y los tiempos de acceso son las más excepcionales de la historia del Xserve.

La virtualización con Xserve proporciona un excelente equilibrio de control, aislamiento de recursos y el futuro de escalabilidad. Interdominios utiliza el más reciente hardware Xserve junto con el software de virtualización de Parallels. Toda esta tecnología es profesionalmente instalada y gestionada por Interdominios.

Desde principios del mes de Marzo de 2.009 Interdominios hace una apuesta segura, siendo el primer ISP que lanza el servicio de virtualización de servidores Xserve, ofreciendo a empresas y profesionales la posibilidad de disponer de todos los servicios y aplicaciones de un servidor dedicado Xserve. Algo que permitirá ofrecer un producto y un servicio de calidad basado en tecnología Mac.

Planes de alojamiento en Interdominios;

Alojamiento GNU/Linux | Alojamiento Windows | Alojamiento X-SERVE.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.