Daboweb | Seguridad y ayuda informática |

En algunas ocasiones, habréis visto como vía iptables o usando un firewall tipo Shorewall, APF, o los que vienen con un CPanel, Plesk etc, el acceso a los hosts virtuales en Apache a través de vuestro cliente FTP, se ve afectado con continuas caídas o simplemente, al intentar conectar da un “timeout”.

Una de las ventajas de Pure FTPd (entre muchas otras) es que nos permite definir a través de que rango de puertos se tramitaran las conexiones pasivas (de ese modo se conectan la mayoría de los clientes FTP). Como sabéis, el servidor FTP puede estar “escuchando” un puerto y a la espera de recibir conexiones (por ej el 21) y luego, deriva las transferencias hacia otros puertos.

Este hecho, en otros servidores FTP puede provocar muchos dolores de cabeza al administrador del sistema, ya que es muy complicado saber a priori a través de que puertos se realizarán las transferencias de datos y por lo tanto, a la hora de establecer las políticas de acceso al servidor web en el firewall este hecho se revela como un problema.

Por suerte, en Pure FTPd, se pueden definir estos puertos de un modo sencillo para luego incluirlos en vuestro firewall. Dentro de /etc/pure-ftpd/conf, tenéis que crear un fichero con el nombre PassivePortRange (como está, con mayúsculas y minúsculas) caso de que no esté creado.

Abrís vuestro editor de texto favorito para crearlo, en este caso vim;

vim PassivePortRange

y una vez dentro, tendréis que incluir el rango de puerto deseado del modo siguiente;

27750 28000

En este caso he incluido ese rango de puertos pero pueden ser otros (cuidado de que no estén usándose por otro servicio), podéis dar un vistazo a los puertos más comunes y su función o servicio.

Después y una vez definido ese rango de puertos en vuestro firewall, sólo tendréis que reiniciar el PureFTPd para que los cambios se hagan efectivos del siguiente modo;

/etc/init.d/pure-ftpd restart o /etc/init.d/pure-ftpd-ldap restart si está ejecutándose bajo ldap.

Os tendrá que aparecer algo similar a esto;

Restarting ftp server: Running: /usr/sbin/pure-ftpd-ldap-virtualchroot -l ldap:/etc/pure-ftpd/db/ldap.conf (omito algunas opciones) -p 27750:28000 -B

Ese -p 27750:28000 indicará que las transferencias en modo pasivo se harán entre esos puertos (-p passiveportrange) y si esos puertos están bien indicados en el firewall os podréis conectar vía FTP sin problemas.

(Update 5/12/2012)

Buen apunte del amigo Rastreador (vía Twitter) un tip para Amazon:

Añadiría que si ip serv. <> ip publica hay q utilizar pasv_address=ip_publica . En AWS imprescindible

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Acaba de ser liberada la versión 1.4.21 del software de gestión de galerías fotográficas Coppermine. Una actualización de seguridad que solventa una grave vulnerabilidad descubierta recientemente.

Esta nueva vulnerabilidad, CSRF (Cross-site request forgery), para la que según parece podría existir un exploit,  afectaría a todas las versiones 1.4.20 y anteriores.

Desde la web oficial del programa, se recomienda actualizar a esta nueva versión de Coppermine, a la mayor brevedad posible. Además de corregir esta vulnerabilidad, se añaden nuevas mejoras de estabilidad.

Descarga de Coppermine | Tutorial para actualizar Coppermine |

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Nuevas versiones para el popular, y potente, gestor de contenidos (CMS), Drupal.

Estas nuevas versiones no incluyen ninguna novedad y han sido lanzadas con la única finalidad de corregir problemas de seguridad calificados como críticos.

La actualización es altamente recomendada y es necesario correr el archivo update.php después de hacerlo para refrescar la caché del menú y cualquier otro tipo de caché existente en el sistema; la actualización no afecta a los archivos .htaccess y robots.txt (cualquier actualización sobre estos tendría que ser posterior y a mano) ni a los archivos settings.php (por defecto).

Existe un parche para las versiones anteriores a esta nueva actualización, la 6.9 y la 5.15 (el parche no es válido para versiones anteriores a estas).

• Anuncio oficial.
• Descarga versión 6.10
• Descarga versión 5.16

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Según se puede leer en el blog de desarrollo de WordPress, (ENG) se acaba de liberar la versión 2.7.1 de este gestor de contenidos tan utilizado actualmente.

Se trata de una versión de mantenimiento y se han solventado 68 tickets pendientes abiertos en el trac (lugar de desarrollo) de WordPress.

También informan de que vía el menú “herramientas” “actualizar” se puede realizar el update o ,de otro modo, según el método tradicional descargando la nueva versión al completo.

Os recordamos que para actualizar sin sustos, puedes consultar nuestro tutorial.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

El popular gestor de foros ha lanzado una nueva actualización, la 1.1.8., que viene a solventar algunos errores encontrados en la versión anterior. Se recomienda actualizar lo antes posible a esta nueva versión.

Además, en el tema del anuncio, informan de que han lanzado una nueva versión de la rama de desarrollo 2, la 2.0 RC1 y que se puede actualizar igualmente a esta nueva versión, eso sí recordar que es una versión no estable y que no es recomendable ponerla en producción.

Los usuarios de la versión 1.0.x deben actualizar a la versión 1.0.16. Se puede actualizar a través del panel de administración o vía FTP, esta nueva versión podría dar problemas actualizando desde el panel y entonces sí o sí habría que hacerlo manualmente. Os copio una pequeña guía escrita por Dabo para actualizar sin problemas:

Tutorial para actualizar foros SMF (by Dabo).

1– Ponéis el foro en mantenimiento y el idioma en Inglés (si no, os dará fallo).

Continue reading…

Acaba de ser liberada la versión 1.4.20 del software de gestión de galerías fotográficas Coppermine. Una actualización de seguridad que solventa una vulnerabilidad descubierta recientemente.

Esta vulnerabilidad, para la que según parece podría existir un exploit, podría entre otras, permitir la ejecución remota de código en aquellos sistemas no actualizados en las versiones 1.4.19 y anteriores.

Desde la web oficial del programa, se recomienda actualizar a esta nueva versión de Coppermine, a la mayor brevedad posible. Además de corregir esta vulnerabilidad, se añaden nuevas mejoras de estabilidad.

Descarga de Coppermine | Tutorial para actualizar Coppermine |

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Si estamos en la tesitura de tener un servidor (puede ser un VPS o un dedicado) y querer migrar a otro nuevo, pero nos da mucha pereza el tener que realizar todo el proceso a mano (copiando las distintas webs, configuraciones, backups de bases de datos e insertandolas en el nuevo servidor) y además contamos con que el servidor tanto de origen como de destino esta gestionado por Plesk, entonces lo tenemos facil. Utilizaremos la utilidad de migración que viene en el panel de control. Esta utilidad lo que hace es un backup de toda (o casi toda) información de los diferentes dominios: configuraciones, cuentas de correo, correos, etc.

Para realizar la migración debemos realizar estos pasos:

En el servidor antiguo, permitimos el acceso a root vía ssh (que como buen administrador tendrás deshabilitado).

En el Plesk del nuevo servidor, nos vamos a la opción de Administrador de migraciones que se encuentra en el apartado de Sistema.

Iniciamos una Nueva Migración, introducimos la ip y la contraseña de root y pulsamos el botón de iniciar la migración. Listo, ahora esperamos hasta que el proceso se migre y migración terminada.

Puede ser que al intentar realizar la migración de un fallo tipo:

ERROR: PleskFatalException Up LevelUp Level Unable get localhost file system: Unable to get local file system description: Unable to run ‘getfs »’: <?xml version=»1.0″?>

0: /usr/local/psa/admin/plib/common_func.php3:154
psaerror(string ‘Unable get localhost file system: Unable to get local file system description: Unable to run ‘getfs »’: <?xml version=»1.0″?>’)
1: /usr/local/psa/admin/plib/PMM/MigrationUploadScout.php:537
MigrationUploadScout->getLocalHostFSList()
2: /usr/local/psa/admin/plib/PMM/MigrationUploadAgentForm.php:72
MigrationUploadAgentForm->assign(object of type MigrationUploadScout)
3: /usr/local/psa/admin/htdocs/server/PMM/main.php:29

Este fallo, simplemente es un bug un tanto curioso, ya que uno de los datos que se utiliza para la migración se consigue mediante el comando ‘df’ y haciendo una busqueda por una cadena de caracteres en concreto en ingles, entonces se puede dar el caso de que dicho comando devuelva la información en castellano, por lo que la cadena no es encontrada y presenta el error.

Para arreglarlo, basta con poner lo siguiente en el fichero /etc/sysconfig/i18n del servidor destino:

LANG=»C»
LC_CTYPE=»C»
LC_NUMERIC=»C»
LC_TIME=»C»
LC_COLLATE=»C»
LC_MONETARY=»C»
LC_MESSAGES=»C»
LC_PAPER=»C»
LC_NAME=»C»
LC_ADDRESS=»C»
LC_TELEPHONE=»C»
LC_MEASUREMENT=»C»
LC_IDENTIFICATION=»C»
LC_ALL=

Ahora solo falta reiniciar el servicio psa (/etc/init.d/psa restart) para que los cambios surtan efecto (también, para el usuario que está por ssh con salir de la sesión y volver a entrar ya surte efecto).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Nuevas versiones para el popular, y potente, gestor de contenidos (CMS), Drupal.

Estas nuevas versiones no incluyen ninguna novedad y han sido lanzadas con la única finalidad de corregir problemas de seguridad calificados como moderadamente críticos.

La actualización es altamente recomendada (vamos, porque no te pueden obligar a actualizar) y es necesario correr el archivo update.php después de hacerlo para refrescar la caché del menú y cualquier otro tipo de caché existente en el sistema; la actualización no afecta  a los archivos .htaccess y robots.txt (cualquier actualización sobre estos tendría que ser posterior y a mano).

Todas las versiones anteriores a las 6.8 y 5.14 (incluidas estas) se ven afectadas.

Existe un parche para las versiones anteriores a esta nueva actualización, la 6.8 y la 5.14 (el parche no es válido para versiones anteriores a estas).

• Anuncio oficial.
• Detalles de las vulnerabilidades.
• Descarga versión 6.9
• Descarga versión 5.15

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

La activa comunidad que mantiene y desarrolla el popular CMS Joomla! ha anunciado la disponibilidad de una nueva versión de su software.

Esta entrega de Joomla! se etiqueta con el número 1.5.9 y ha sido bautizada como «Vatani». Dicha release contiene según se puede leer en el post del lanzamiento 81 errores corregidos, entre ellos dos que afectan a la seguridad del CMS catalogados con prioridad alta y prioridad baja.

La solución pasa por instalar Joomla! 1.5.9 (página de descargas).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro.

Nos hacemos eco del anuncio oficial de phpBB.com (en Inglés) en el que avisan de que a partir del 1 de Enero de 2009, el soporte que se venía dando a las versiones 2.0.x de este sistema de foros quedará cancelado.

Se mantendrán durante unos meses y a modo de consulta en su sección de archivo las cuestiones antiguas planteadas sobre esta rama del CMS para borrarse pasado un tiempo.

Ya que no veremos nuevas actualizaciones de phpBB 2.0.x ni tampoco desde el sitio oficial se dará soporte, sus creadores recomiendan actualizar los foros a la rama 3.0.x para evitar problemas de uso y de seguridad de los foros que pueden ir surgiendo al quedar obsoletas las antiguas instalaciones de phpBB.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

phpBB, el sistema de foros por excelencia, anuncia una actualización en la rama 3.0.x, (recordar que la 2.0.x está sin desarrollo y en Enero será retirada oficialmente) que solventa algunos errores corrige un par de fallos de seguridad e incorpora algunas novedades.

Este lanzamiento además coincide con el aniversario de la publicación de la versión 3, más conocida como Olympus, el pasado 13 de Diciembre del 2007.

Es importante actualizar a la nueva versión porque uno de los fallos de seguridad corregidos tienen que ver con las contraseñas.  Más información en el anuncio oficial en inglés.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Lo de Drupal es un no parar, después de las actualizaciones publicadas ayer nos llega hoy un nuevo anuncio con actualizaciones para ambas ramas de desarrollo, ahora las últimas versiones estables son las 6.8 y la 5.14

Por lo visto las versiones lanzadas ayer fueron poco más que un parche y por ese motivo han lanzado estas nuevas que esperemos solucionen el problema definitivamente y no tengan al personal constantemente actualizando el CMS.

Los parches publicados para las versiones 6.6 y 5.12 siguen teniendo validez.

• Anuncio oficial.
• Descarga versión 6.8
• Descarga versión 5.14

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Bajo el nombre de Coltrane, dedicado a John Coltrane, y poco tiempo después de que anunciaramos aquí mismo la RC2 (cierto que dimos la noticia con bastante retraso) ha sido liberada para descarga, instalación y/o actualización la versión estable y, de momento, definitiva de WordPress, la 2.7

Solamente recordar las recomendaciones dadas en los anuncios de las versiones candidatas 1 y 2 en cuanto a copias de seguridad, comprobación de temas y plugins, etc …

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y múltiples vulnerabilidades de seguridad críticas de Cross site scripting; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Aparte de las copias de seguridad que hay que hacer siempre antes de actualizar un CMS hay que tener en cuenta que la actualización a las versiones 6.7 y 5.13 pisa los archivos .htaccess y robots.txt con lo cual hay que prestar especial atención a la hora de salvar estos archivos, especialmente si los hemos personalizado ya que perderíamos los cambios realizados.

• Anuncio oficial.
• Descarga versión 6.7
• Descarga versión 5.13
• Parche versión 6.6
• Parche versión 5.12

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Si no me fallan las cuentas hoy era el día en que debía salir a la luz la nueva versión de WordPress, la 2.7, pero en su lugar han lanzado una nueva versión candidata, la RC2.

Esto son buenas y malas noticias, buenas porque se supone que la versión estable al final será incluso más estable y malas porque los impacientes ya estarán comiéndose las uñas a la altura del codo 😉

Este es un buen momento para comprobar la compatibilidad de nuestro actual blog con la nueva versión, es algo que se me olvidó comentar en el lanzamiento de la RC1. Cuando actualizamos la versión X.X de WordPress no es tan sencillo como actualizar los archivos, hay que comprobar la compatibilidad del tema con la nueva versión y también de los plugins instalados.

Quizás por necesidad o comodidad necesitemos esperar a que se actualicen estas cosas antes de cambiar la versión o en el peor de los casos adaptar el tema o cambiarlo por uno compatible; del mismo modo nos podríamos ver obligados  a prescindir de algún plugin temporalmente o para siempre. Es algo que actualizando versiones X.X.x no suele suceder (aunque todo es posible).

Para comprobar las compatibilidades:

– Compatibilidad de Temas.

– Compatibilidad de Plugins.

Los que estén probando la RC1 pueden aprovechar para probar el upgrade desde el panel de admin: Tools – Upgrade (en español debería estar en Opciones – Upgrade o Actualizar).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.