Daboweb | Seguridad y ayuda informática |

Dicen las malas lenguas que rectificar es de sabios y aunque no esté del todo de acuerdo tenemos una rectificación importante que hacer.

A veces la inmediatez de publicar una noticia que puede afectar de forma grave a muchos usuarios de un programa o sistema hace que se puedan cometer errores que por suerte, al menos en este caso, tienen fácil solución.

Esta noche publicamos una información referente a un zero day en todas las versiones de wordpress, desde la 3.0.2 para abajo, incluida la 3.1 beta (no alfa).

Este zero day está corregido precisamente en la versión 3.0.2, algunos errores en las traducciones han llevado a esta confusión; por partes:

En Geekeries (en francés) hablan de versiones precedentes a la 3.0.2 (dernières) y habla de aplicar el parche sustituyendo una línea, no añadiéndola:

Sélectionnez le bout de code précédemment cité et coller le code suivant. Cela écrasera votre sélection puis enregistrez.

Lo que viene a decir:

Seleccione el fragmento citado arriba y pega el código siguiente. Que se sobreponen a la selección y guardar.

Mis pocos conocimientos de francés traducen mejor que eso, pero google no lo ha hecho (en este caso) del todo mal.

Además en AyudaWordpress hacen referencia a un artículo que a su vez apunta a un blog (http://blog.sjinks.pro/)

que precisamente sale en los agradecimientos en la noticia de la actualización de WordPress.

Fixed on day zero
One-click update makes you safe
This used to be hard

This maintenance release fixes a moderate security issue that could allow a malicious Author-level user to gain further access to the site, addresses a handful of bugs, and provides some additional security enhancements. Big thanks to Vladimir Kolesnikov for detailed and responsible disclosure of the security issue!

Lamentamos profundamente las molestias que hayamos podido ocasionar, ahora solo toca deshacer lo hecho aquellos que tenían la versión actualizada a la 3.0.2 ya sea eliminando la línea sobrante si la han añadido o haciendo una reinstalación de la versión desde el escritorio. También serviría la sustitución del archivo comment.php en /wp-includes/ si habeis hecho los deberes haciendo una copia antes de sustituirlo.

Hace unos días os informamos en Daboweb acerca del lanzamiento de la versión 3.0.2 de WordPress. Pues bien, en estos momentos, tanto esta nueva versión, como la futura versión 3.1 de WP (aún en estado «alfa») y anteriores, son vulnerables a un ataque de inyección SQL a través de la función «do_trackbacks".

El autor del descubrimiento, es quien reporta la solución temporal hasta que WordPress libere una versión de seguridad que lo corrija. Muy fácil de aplicar (probado en 8 wp) tal y como explica Fernando en Ayuda WordPress

IMPORTANTE: Rectificación sobre el Zero Day de WordPress

A través de Hispasec nos enteramos de un grave agujero de seguridad que afecta a ProFTPD en su versión 1.3.3c, habiendo sido descargado entre los días 28 de Noviembre y 1 de Diciembre.

Atacantes remotos lograron el acceso al servidor principal desde el que se distribuye ProFTPD, manipulando los ficheros originales e instalando una puerta trasera que permite el acceso remoto con privilegios de root a usuarios no autenticados en el sistema consiguiendo un acceso total al sistema afectado.

El fallo ha sido corregido, aunque hay dudas acerca de cómo se ganó el acceso. Os recomendamos leer toda la información sobre esta grave vulnerabilidad en Hispasec.

Se ha publicado una actualización del kernel de Debian Linux, concretamente de la rama 5.x, la cual da solución a diversos fallos de seguridad que podían provocar en el sistema afectado fallos de todo tipo, desde ejecución de código, elevaciones de privilegios, pasando por denegaciones de servicio entre otros problemas. El proyecto Debian se ha apresurado a que sus usuarios dispongan a través de las herramientas habituales de actualización, de una nueva versión del núcleo que ya no sufre de estos fallos de seguridad.

Se recomienda la actualización inmediata, sobre todo para aquellos sistemas que debido a su uso, esten expuestos a muchos usuarios, como puedan ser servidores webs o de bases de datos entre otros. En lo que va de año, esta es la actualización de seguridad mas importante y cuantiosa que nos llega desde la gran distribución linuxera Debian.

Mas información en este enlace.

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5

Wireshark I Parte.

.

¿ Qué es Wireshark ?.

Wireshark es una herramienta multiplataforma para análisis de tráfico de red, producto de la evolución del antiguo Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Posee una serie de decodificadores para la mayor parte de protocolos así como plugins y herramientas para el análisis gráfico de las capturas.

Este es solo una pequeña definición de esta herramienta. Veremos, a lo largo de esta artículo, que Wireshark es capaz de destripar, decodificar, analizar todo nuestro tráfico aportando una grandísima cantidad de datos. Datos que, una vez analizados, nos servirán para optimizar nuestra red, buscar errores, análisis forense, geoposicionamiento, análisis de rendimiento, etc, etc. Vamos a ello.

Antes que nada un apunte sobre este artículo. Escribir sobre Wireshark podría dar para un libro o dos. Así que en este artículo y el siguiente trataremos este tema de forma práctica para aprender a usarlo lo mejor y más rápidamente posible (usuarios principiantes / medio), tocando todos los aspectos posibles pero si mucha profundidad. Otros aspectos más avanzados lo trataremos en otra serie de artículos.

Continue reading…

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Noviembre de 2010 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Noviembre 2010

• Manifiesto por una red neutral
• Seguridad básica en Daboweb. Utiliza cuentas de usuario limitadas
• Denegación de servicio en OpenSSL
• Nueva versión Wireshark 1.4.2
• Pidgin 2.7.7 soluciona error de validación (actualizado)
• [Breves] Enlazando —> “con seguridad”
• phpBB 3.0.8 Actualización urgente y tirón de orejas.
• Dabo y Ricardo Galli (Menéame, UIB) hablando de la administración de servidores web
• Recordando Fentlinux.com: segundo magazine
• Actualización de seguridad del Navegador web Safari soluciona multiples vulnerabilidades
• Actualización de seguridad para Adobe Acrobat y Reader
• Falsos correos sobre actualizaciones de Adobe Acrobat y Reader
• Firefox 4 beta7 disponible para Linux
• 438.208 mensajes para sus señorías…
• [Breves] Mac OS X Security Update 2010-007 solventa más de 50 bugs
• Actualizaciones de Microsoft Noviembre 2010
• Técnicas empleadas por los atacantes para consumar estafas
• Disponible Joomla! 1.5.22; Actualización de seguridad
• Si las empresas no pagan, lo pagarán los ciudadanos
• Actualización foros SMF 1.1.12
• Nueva versión de Flash Player, urge actualizar
• [Breves] Vulnerabilidad en todas las versiones de Internet Explorer
• Actualización del núcleo de OpenSuse
• Publicado en Daboweb, Octubre de 2010

Se ha detectado una vulnerabilidad en OpenSSL, el conocido y utilizado sistema de seguridad de transporte de comunicaciones en red de código abierto,  mediante la cual un usuario remoto podría causar una denegación de servicio en el sistema afectado, ejecutando código arbitrario mediante el envío de datos especialmente manipulados y creados para comprometer la seguridad. Las versiones de OpenSSL que soporten TLS estan afectadas por este fallo, con lo que se recomienda la actualización inmediata.

En este enlace tenéis mas información al respecto, tanto de versiones afectadas, parches que solucionan el problema y nuevas versiones que solucionan esta grave vulnerabilidad.

En ocasiones, leo artículos sobre Seguridad Informática que despiertan mi interés y por cuestiones de tiempo, a veces no puedes recomendar tanto como te gustaría.

En estas recopilaciones de enlaces a otras webs relacionadas con un temática similar a la nuestra, simplemente pretendo compartir lecturas que me han resultado interesantes, esperando que también lo sean para vosotros.

# Sergio Hernando y el trabajo con imágenes forenses fragmentadas.

# Security By Default habla sobre un futuro incierto en la industria de los antivirus.

# Chema Alonso se preocupa (como yo) por inminentes cambios legales en materia de seguridad.

# Javier Cao nos informa de que ya está disponible el nº 28 de (IN)Secure Magazine.

# Seguridad y Redes, nuestro Alfon sigue filtrando «frames» con Wireshark / Tshark.

# Hispasec revela un dato preocupante sobre el crecimiento de las «botnets» controladas vía web

# Alberto Ortega ha liberado la versión 1.4 de PenTBox, app de seguridad esencial para mi.

Por David Hernández (Dabo).

Apple ha publicado las nuevas versiones 5.0.3 y 4.1.3 de su navegador web Safari. Esta entrega del software solventa múltiples vulnerabilidades que entre otras, podrían permitir al ejecución de código al acceder a sitios especialmente manipulados.

Dado el impacto de los bugs que se han parcheado en estas versiones, es más que aconsejable su inmediata actualización.

Para actualizar podéis descargaros las nuevas versiones del navegador para vuestro sistema operativo, (versión de Safari 5.0.3 para Mac OS X 10.6, 10.5, y Windows; y la versión Safari 4.1.3 para Mac OS X 10.4) desde el siguiente enlace:

# Descargar Safari.

o bien, desde la herramienta Actualización de software.

Adobe ha publicado un boletín de seguridad en el que informa que ha actualizado sus productos Adobe Acrobat y Adobe Reader, corrigiendo diversas vulnerabilidades críticas de las versiones anteriores, que podrían permitir a un atacante tomar el control del sistema afectado.

Las nuevas versiones actualizadas de Acrobat y Reader están numeradas como 9.4.1 para Windows, Unix y Macintosh.

Por tanto si utilizas este programa para manipular o ver los archivos pdf en tu equipo, recomendamos actualices a estas nuevas versiones a la mayor brevedad posible.

Acceder al boletin Adobe.

Desde Adobe informan que se podrían estar enviando falsos correos electrónicos en su nombre, cuyo asunto, como en tantas ocasiones ocurre, hace referencia a la disponibilidad de una nueva actualización.

En este caso, los atacantes se aprovechan de que Adobe tiene previsto liberar en estos días los parches o actualizaciones oportunos que solventan una vulnerabilidad en Adobe Acrobat y Reader que ya mencionábamos hace unos días.

Como en tantas ocasiones anteriores y con este tipo de correos, Adobe insiste en lo mismo y comunica que no utiliza estos procedimientos para informar de sus actualizaciones ni similares.

Desde daboweb recomendamos que hagáis caso omiso de este tipo de correos, extreméis la medidas de seguridad y sobre todo sentido común.

¿Quien no ha recibido correos invitando a acceder a determinadas webs, correos sobre personas con problemas económicos, problemas en supuestas compras online realizadas, etc., donde, en la mayoría de los casos, te acaban solicitando tus datos personales y bancarios?.

Estas situaciones y muchas más, son utilizadas a diario en la red por los atacantes para conseguir sus objetivos de fraude.

También y como no, con la instalación en el equipo de rogueware o falsos programas de seguridad que tras un supuesto análisis del equipo te informan de infecciones en el mismo y te proponen un desembolso económico para eliminarlo.

Hoy transcribimos y recomendamos, un interesante estudio que puedes descargar en formato PDF, publicado en INTECO sobre las técnicas que utilizan los atacantes para intentar defraudar a través de la Red.

Los atacantes utilizan diferentes técnicas basadas en ingeniería social para intentar consumar una estafa. Así, los envíos de correos electrónicos para que el receptor visite una página web sospechosa es sin duda una de las técnicas más usadas por los spammers para consumar un timo, ofrecer publicidad fraudulenta a la víctima, o directamente infectar el equipo del usuario.

También, aunque en menor medida, el teléfono móvil es utilizado como medio para el envío de sms o llamadas telefónicas con la búsqueda de causar víctimas de fraude.

Resultados del “Estudio sobre el fraude a través de Internet (2º trimestre de 2010, abarca los meses de abril a junio de 2010)”:

• Un 36,2% de los usuarios recibe peticiones de visitar alguna página web sospechosa.

• Un 29,7% que recibe emails ofertando un servicio no solicitado.

• Un 23,2% asegura haber recibido una oferta de trabajo falsa.

• Un 20,3% ha sido víctima de intento de phishing (recepción de un correo electrónico solicitando claves de usuario).

# Descargar el informe completo en castellano.

En caso de haber sido víctima de un fraude, debe poner inmediatamente la denuncia correspondiente en la comisaria del  Cuerpo Nacional de Policía o la Guardia Civil.

Como recordatorio y añadido al tema, también puedes descargarte en formato PDF  12 guías de ayuda para configurar la privacidad en redes sociales,  que ya vimos en una entrada anterior.

Ha sido liberada la versión 1.5.22 bajo el nombre “senu takaa ama woi” considerada de seguridad y con la recomendación de actualizar inmediatamente.

Es un problema de inyección SQL, calificado como de prioridad baja que afecta a todas las versiones de la rama 1.5.x incluida la 1.5.21

Anuncio oficial | Info sobre el XSS

Ya hace unos días mencionábamos en esta entrada un grave fallo de seguridad que afectaba a Adobe Reader y Acrobat y para Adobe Flash Player. La explotación de esta vulnerabilidad podría permitir a un atacante tomar el control de los sistemas afectados.

Se acaba de publicar una actualización para Flash Player que soluciona esta vulnerabilidad, en concreto se trata de la versión 10.1.102.64, por tanto, se recomienda actualizar ala mayor brevedad posible a esta nueva versión.

En este manual puedes ver como Comprobar y actualizar la versión de Flash Player instalada en tu equipo con Windows.

Por otro lado la vulnerabilidad en Acrobat y Reader se mantiene, por lo que debéis seguir tomando las debidas precauciones en tanto sean publicados los parches o actualizaciones que las solucionen en los próximos días, o bien, utilizar otros programas visores de archivos PDF.

Se acaba de publicar una  actualización del kernel de las distribuciones linuxeras OpenSUSE v11.2 y OpenSuse v11.3, en la que se corrigen dos vulnerabilidades que podían desencadenar una elevación de privilegios (hasta nivel de root), debido a un problema con los sockets RDS y con el tratamiento de video4linux para dispositivos de vídeo en sistemas con arquitectura x86_64.

Desde OpenSuse se recomienda actualizar a la última versión del kernel si usais estas versiones de este sistema operativo a la mayor prontitud posible. Os recordamos que este proceso es muy fácil llevar a cabo a través de la herramienta automática de actualización YaST Online Update (YOU). Os dejamos este enlace con el anuncio oficial de OpenSuse del lanzamiento de esta importante actualización de seguridad.