Parche y solución para vulnerabilidad “0-Day” en WordPress (todas las versiones)

Posted by Destroyer on diciembre 07, 2010
Seguridad Informática / Comentarios desactivados en Parche y solución para vulnerabilidad “0-Day” en WordPress (todas las versiones)

Hace unos días os informamos en Daboweb acerca del lanzamiento de la versión 3.0.2 de WordPress. Pues bien, en estos momentos, tanto esta nueva versión, como la futura versión 3.1 de WP (aún en estado «alfa») y anteriores, son vulnerables a un ataque de inyección SQL a través de la función «do_trackbacks".

El autor del descubrimiento, es quien reporta la solución temporal hasta que WordPress libere una versión de seguridad que lo corrija. Muy fácil de aplicar (probado en 8 wp) tal y como explica Fernando en Ayuda WordPress

IMPORTANTE: Rectificación sobre el Zero Day de WordPress

Tags: , , , , ,

Manuales Fentlinux (contraseñas, cron y at, cyrus, documentación, yum y emerge)

Posted by vlad on diciembre 06, 2010
Manuales y Tutoriales / Comentarios desactivados en Manuales Fentlinux (contraseñas, cron y at, cyrus, documentación, yum y emerge)

Mas manuales de la extinta web fentlinux.com. En esta ocasión os ofrecemos unos tutoriales de lo mas variado, desde un minimanual de emerge, herramienta de instalación en Gentoo, hasta como documentar convenientenemente un programa en C, pasando por como planificar tareas con los comandos cron y at. Los enlaces a los manuales los tenéis a continuación:

De lectura obligada para aquellos que quieran conocer a fondo los entresijos del sistema operativo GNU/Linux.

Nota: manuales desactualizados.

Tags: , , ,

[Breves] Parada del foro y migración a un nuevo servidor. Tarea finalizada

Posted by Dabo on diciembre 04, 2010
[Breves] / Comentarios desactivados en [Breves] Parada del foro y migración a un nuevo servidor. Tarea finalizada

Por motivo del estreno de un nuevo datacenter de nuestro patrocinador de hosting Interdominios, vamos a aprovechar el cambio migrando a un nuevo servidor más potente, es por ello este fin de semana el foro permanecerá cerrado durante 24h aprox (a partir de mañana a mitad mañana) y en la web no se publicará ninguna noticia mientras se realiza el cambio de DNS, etc.

Y si en días posteriores veis algún funcionamiento raro o problemas de acceso es por la adecuación al nuevo servidor.

Gracias y disculpad las molestias.

EDITADO:

Realizadas todas las tareas de migración al nuevo servidor, estamos online.

Tags: ,

Servidores comprometidos con ProFTPD 1.3.3c descargado entre el 28-11 y el 1-12

Posted by Dabo on diciembre 02, 2010
Seguridad Informática / Comentarios desactivados en Servidores comprometidos con ProFTPD 1.3.3c descargado entre el 28-11 y el 1-12

A través de Hispasec nos enteramos de un grave agujero de seguridad que afecta a ProFTPD en su versión 1.3.3c, habiendo sido descargado entre los días 28 de Noviembre y 1 de Diciembre.

Atacantes remotos lograron el acceso al servidor principal desde el que se distribuye ProFTPD, manipulando los ficheros originales e instalando una puerta trasera que permite el acceso remoto con privilegios de root a usuarios no autenticados en el sistema consiguiendo un acceso total al sistema afectado.

El fallo ha sido corregido, aunque hay dudas acerca de cómo se ganó el acceso. Os recomendamos leer toda la información sobre esta grave vulnerabilidad en Hispasec.

Tags: , , , , , ,

Actualización del kernel de Debian Linux 5.x

Posted by vlad on diciembre 01, 2010
Seguridad Informática, Sistemas Operativos / Comentarios desactivados en Actualización del kernel de Debian Linux 5.x

Se ha publicado una actualización del kernel de Debian Linux, concretamente de la rama 5.x, la cual da solución a diversos fallos de seguridad que podían provocar en el sistema afectado fallos de todo tipo, desde ejecución de código, elevaciones de privilegios, pasando por denegaciones de servicio entre otros problemas. El proyecto Debian se ha apresurado a que sus usuarios dispongan a través de las herramientas habituales de actualización, de una nueva versión del núcleo que ya no sufre de estos fallos de seguridad.

Se recomienda la actualización inmediata, sobre todo para aquellos sistemas que debido a su uso, esten expuestos a muchos usuarios, como puedan ser servidores webs o de bases de datos entre otros. En lo que va de año, esta es la actualización de seguridad mas importante y cuantiosa que nos llega desde la gran distribución linuxera Debian.

Mas información en este enlace.

Tags: , , ,

Herramientas para la interpretación de capturas de red. (6/10)

Posted by Alfon on diciembre 01, 2010
Seguridad Informática / Comentarios desactivados en Herramientas para la interpretación de capturas de red. (6/10)

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5

Wireshark I Parte.

.

¿ Qué es Wireshark ?.

Wireshark es una herramienta multiplataforma para análisis de tráfico de red, producto de la evolución del antiguo Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Posee una serie de decodificadores para la mayor parte de protocolos así como plugins y herramientas para el análisis gráfico de las capturas.

Este es solo una pequeña definición de esta herramienta. Veremos, a lo largo de esta artículo, que Wireshark es capaz de destripar, decodificar, analizar todo nuestro tráfico aportando una grandísima cantidad de datos. Datos que, una vez analizados, nos servirán para optimizar nuestra red, buscar errores, análisis forense, geoposicionamiento, análisis de rendimiento, etc, etc. Vamos a ello.

Antes que nada un apunte sobre este artículo. Escribir sobre Wireshark podría dar para un libro o dos. Así que en este artículo y el siguiente trataremos este tema de forma práctica para aprender a usarlo lo mejor y más rápidamente posible (usuarios principiantes / medio), tocando todos los aspectos posibles pero si mucha profundidad. Otros aspectos más avanzados lo trataremos en otra serie de artículos.

Continue reading…

Tags: , , , ,

WordPress 3.0.2, actualización de seguridad

Posted by Liamngls on diciembre 01, 2010
Webmaster / Comentarios desactivados en WordPress 3.0.2, actualización de seguridad

Nueva actualización para WordPress camino de la versión 3.1, la presente está considerada de seguridad. Presenta un riesgo de seguridad moderado mediante el cual un usuario del tipo autor podría hacer una escalada de privilegios y tomar el control del sitio.

Además se han corregido otros errores de menor importancia de versiones precedentes.

Importante actualizar. Y como siempre, el Dabo-how-to de actualización de WP. Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

  • Desactivamos los plugins.
  • Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
  • Subimos los ficheros nuevos y sobreescribimos todo.
  • Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
  • Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas. Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización. Página de descarga. Entrada en WP.org.

Publicado en Daboweb, Noviembre de 2010

Posted by Destroyer on diciembre 01, 2010
Seguridad Informática / Comentarios desactivados en Publicado en Daboweb, Noviembre de 2010

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Noviembre de 2010 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Noviembre 2010

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , ,

Manifiesto por una red neutral

Posted by Destroyer on noviembre 30, 2010
Cibercultura / Comentarios desactivados en Manifiesto por una red neutral

Los ciudadanos y las empresas usuarias de Internet adheridas a este texto manifestamos:

  1. Que Internet es una Red Neutral por diseño, desde su creación hasta su actual implementación, en la que la información fluye de manera libre, sin discriminación alguna en función de origen, destino, protocolo o contenido.
  2. Que las empresas, emprendedores y usuarios de Internet han podido crear servicios y productos en esa Red Neutral sin necesidad de autorizaciones ni acuerdos previos, dando lugar a una barrera de entrada prácticamente inexistente que ha permitido la explosión creativa, de innovación y de servicios que define el estado de la red actual.
  3. Que todos los usuarios, emprendedores y empresas de Internet han podido definir y ofrecer sus servicios en condiciones de igualdad llevando el concepto de la libre competencia hasta extremos nunca antes conocidos.
  4. Que Internet es el vehículo de libre expresión, libre información y desarrollo social más importante con el que cuentan ciudadanos y empresas. Su naturaleza no debe ser puesta en riesgo bajo ningún concepto.
  5. Que para posibilitar esa Red Neutral las operadoras deben transportar paquetes de datos de manera neutral sin erigirse en “aduaneros” del tráfico y sin favorecer o perjudicar a unos contenidos por encima de otros.
  6. Que la gestión del tráfico en situaciones puntuales y excepcionales de saturación de las redes debe acometerse de forma transparente, de acuerdo a criterios homogéneos de interés público y no discriminatorios ni comerciales.
  7. Que dicha restricción excepcional del tráfico por parte de las operadoras no puede convertirse en una alternativa sostenida a la inversión en redes.
  8. Que dicha Red Neutral se ve amenazada por operadoras interesadas en llegar a acuerdos comerciales por los que se privilegie o degrade el contenido según su relación comercial con la operadora.
  9. Que algunos operadores del mercado quieren “redefinir” la Red Neutral para manejarla de acuerdo con sus intereses, y esa pretensión debe ser evitada; la definición de las reglas fundamentales del funcionamiento de Internet debe basarse en el interés de quienes la usan, no de quienes la proveen.
  10. Que la respuesta ante esta amenaza para la red no puede ser la inacción: no hacer nada equivale a permitir que intereses privados puedan de facto llevar a cabo prácticas que afectan a las libertades fundamentales de los ciudadanos y la capacidad de las empresas para competir en igualdad de condiciones.
  11. Que es preciso y urgente instar al Gobierno a proteger de manera clara e inequívoca la Red Neutral, con el fin de proteger el valor de Internet de cara al desarrollo de una economía más productiva, moderna, eficiente y libre de injerencias e intromisiones indebidas. Para ello es preciso que cualquier moción que se apruebe vincule de manera indisoluble la definición de Red Neutral en el contenido de la futura ley que se promueve, y no condicione su aplicación a cuestiones que poco tienen que ver con ésta.

La Red Neutral es un concepto claro y definido en el ámbito académico, donde no suscita debate: los ciudadanos y las empresas tienen derecho a que el tráfico de datos recibido o generado no sea manipulado, tergiversado, impedido, desviado, priorizado o retrasado en función del tipo de contenido, del protocolo o aplicación utilizado, del origen o destino de la comunicación ni de cualquier otra consideración ajena a la de su propia voluntad. Ese tráfico se tratará como una comunicación privada y exclusivamente bajo mandato judicial podrá ser espiado, trazado, archivado o analizado en su contenido, como correspondencia privada que es en realidad.

Europa, y España en particular, se encuentran en medio de una crisis económica tan importante que obligará al cambio radical de su modelo productivo, y a un mejor aprovechamiento de la creatividad de sus ciudadanos. La Red Neutral es crucial a la hora de preservar un ecosistema que favorezca la competencia e innovación para la creación de los innumerables productos y servicios que quedan por inventar y descubrir.

La capacidad de trabajar en red, de manera colaborativa, y en mercados conectados, afectará a todos los sectores y todas las empresas de nuestro país, lo que convierte a Internet en un factor clave actual y futuro en nuestro desarrollo económico y social, determinando en gran medida el nivel de competitividad del país. De ahí nuestra profunda preocupación por la preservación de la Red Neutral. Por eso instamos con urgencia al Gobierno español a ser proactivo en el contexto europeo y a legislar de manera clara e inequívoca en ese sentido.

Tags: , , , ,

Seguridad básica en Daboweb. Utiliza cuentas de usuario limitadas

Posted by Destroyer on noviembre 28, 2010
Seguridad Básica / Comentarios desactivados en Seguridad básica en Daboweb. Utiliza cuentas de usuario limitadas

Una nueva entrada en nuestra sección de Seguridad Básica para los que empiezan, en esta ocasión insistimos una vez más en la necesidad de utilizar cuentas de usuario limitadas o estándar y solo para aquellos casos  que el sistema lo requiera, usar la cuenta de administrador.

En el uso habitual del equipo y sobre todo, frente a las posibles amenazas que pueden llegar de Internet, si la cuenta por defecto es la de administrador y un atacante remoto consigue acceso al equipo por medio de una vulnerabilidad web u otros medios, el daño que puede hacer al sistema sería mucho más grave que usando una cuenta de usuario limitada o estándar.

A continuación reflejamos el tema que hemos publicado en nuestro blog Basicoyfacil.

Tras comprar el equipo o instalar el sistema operativo Windows en nuestro ordenador, cuando lo arrancamos, por defecto lo hará con una cuenta de usuario administrador.

Es recomendable crear y utilizar habitualmente una segunda cuenta de usuario limitada o estandard, es decir, NO ADMINISTRADOR, por tanto con derechos limitados, que nos va a permitir utilizar el ordenador sin problemas y a cambio vamos a incrementar la seguridad del mismo, ya que este tipo de cuentas entre otras, no permite instalar o desinstalar algunos programas, hacer cambios globales en nuestro sistema operativo, etc.

A continuación os enlazo a los manuales sobre como crear cuentas de usuario en diversos sistemas Windows, que tenemos publicados en Windowsfacil:

Una vez estemos funcionando habitualmente con nuestra cuenta limitada y en el caso de que se requiera hacer algún cambio en el sistema, instalación o desinstalación, etc., el tema es tan sencillo como  arrancar el equipo con la cuenta de administrador.

Para ello vamos al menú Inicio -> Cerrar sesión -> Cambiar de usuario, y nos identificamos en el sistema con la cuenta de administrador.
Después volveremos a la cuenta de usuario limitada siguiendo los mismos pasos expuestos anteriormente.

Utilizar cuentas de usuario limitadas.

Hasta la próxima entrega.

Entradas publicadas de Seguridad Básica:

Tags: , , , , , ,

Denegación de servicio en OpenSSL

Posted by vlad on noviembre 26, 2010
Programas, Seguridad Informática / Comentarios desactivados en Denegación de servicio en OpenSSL

Se ha detectado una vulnerabilidad en OpenSSL, el conocido y utilizado sistema de seguridad de transporte de comunicaciones en red de código abierto,  mediante la cual un usuario remoto podría causar una denegación de servicio en el sistema afectado, ejecutando código arbitrario mediante el envío de datos especialmente manipulados y creados para comprometer la seguridad. Las versiones de OpenSSL que soporten TLS estan afectadas por este fallo, con lo que se recomienda la actualización inmediata.

En este enlace tenéis mas información al respecto, tanto de versiones afectadas, parches que solucionan el problema y nuevas versiones que solucionan esta grave vulnerabilidad.

Tags: , , ,

Nueva versión Wireshark 1.4.2

Posted by Destroyer on noviembre 23, 2010
Programas / Comentarios desactivados en Nueva versión Wireshark 1.4.2

Se encuentra disponible una nueva versión de Wireshark que soluciona diferentes vulnerabilidades de versiones anteriores.

Vulnerabilidades en versiones 1.4.1 y anteriores que bajo determinadas circunstancias, podrían ser explotadas, por lo que se recomienda actualizar a la nueva versión 1.4.2.

Para quienes no conozcáis Whireshark, os comento que es un potente software (libre) analizador de protocolos y capturador de paquetes para filtrar y analizar el tráfico de una red pudiendo actuar en conjunto con muchos otros programas.

Whireshark es muy utilizado por administradores de redes y antiguamente se denominaba Ethereal, estando disponible para GNU/linux, Windows, Solaris, Mac OS X, FreeBSD, NetBSD, OpenBSD o Mac OS X.

Sus funciones son similares a las de tcpdump sólo que añade una intuitiva capa gráfica para su uso.

# Descargar Wireshark 1.4.2.

Tags: , , , , , , , ,

Pidgin 2.7.7 soluciona error de validación (actualizado)

Posted by Destroyer on noviembre 23, 2010
Programas / Comentarios desactivados en Pidgin 2.7.7 soluciona error de validación (actualizado)

Se encuentra disponible una nueva versión del programa de mensajería instantánea Pidgin (antiguo GAIM).

Un software multiplataforma que además, permite conectar con más de una cuenta a la vez y que soporta entre otros los protocolos de MSN Messenger, AIM, IRC, Jabber, ICQ, Yahoo Messenger, etc.

Esta nueva versión soluciona el problema de Error de certificado SSL, Imposible Validar el certificado omega.contacts.msn.com, que impedía conectar el programa.

# Descargar Pidgin.

Tags: , , , ,

[Breves] Enlazando —> «con seguridad»

Posted by Dabo on noviembre 21, 2010
[Breves], Seguridad Informática / Comentarios desactivados en [Breves] Enlazando —> «con seguridad»

En ocasiones, leo artículos sobre Seguridad Informática que despiertan mi interés y por cuestiones de tiempo, a veces no puedes recomendar tanto como te gustaría.

En estas recopilaciones de enlaces a otras webs relacionadas con un temática similar a la nuestra, simplemente pretendo compartir lecturas que me han resultado interesantes, esperando que también lo sean para vosotros.

# Sergio Hernando y el trabajo con imágenes forenses fragmentadas.

# Security By Default habla sobre un futuro incierto en la industria de los antivirus.

# Chema Alonso se preocupa (como yo) por inminentes cambios legales en materia de seguridad.

# Javier Cao nos informa de que ya está disponible el nº 28 de (IN)Secure Magazine.

# Seguridad y Redes, nuestro Alfon sigue filtrando «frames» con Wireshark / Tshark.

# Hispasec revela un dato preocupante sobre el crecimiento de las «botnets» controladas vía web

# Alberto Ortega ha liberado la versión 1.4 de PenTBox, app de seguridad esencial para mi.

Por David Hernández (Dabo).

Tags: , , , , , , ,

phpBB 3.0.8 Actualización urgente y tirón de orejas.

Posted by Liamngls on noviembre 20, 2010
Webmaster / Comentarios desactivados en phpBB 3.0.8 Actualización urgente y tirón de orejas.

Se ha liberado una nueva versión del sistema de foros phpBB, desde Marzo de este año no ha salido ninguna versión nueva así que los cachondos de phpBB le han puesto la muletilla «la paciencia es una virtud». Esta nueva versión que está considerada como de mantenimiento (WTF?) corrige un gran número de errores, mejora la usabilidad y el rendimiento y como dicen, por desgracia, tambien encontraron un agujero de seguridad en la versión 3.0.7 que afecta a aquellos foros que tienen el flash bbcode activado (por defecto está desactivado). El problema estaría en navegadores basados en WebKit donde el flash bbcode podría ser usado para ejecutar código javascript y aprovechar una vulnerabilidad de CSS (Cross Site Scripting).

Para solucionar ese problema en versiones 3.0.7 hay que ir a includes/message_parser.php y buscar la siguiente línea:

// Apply the same size checks on flash files as on images

Justo antes de esa línea añadimos lo siguiente:

$in = str_replace(' ', '%20', $in);

// Make sure $in is a URL.
if (!preg_match(‘#^’ . get_preg_expression(‘url’) . ‘$#i’, $in) &&
!preg_match(‘#^’ . get_preg_expression(‘www_url’) . ‘$#i’, $in))
{
return ‘[flash=’ . $width . ‘,’ . $height . ‘]’ . $in . ‘[/flash]’;
}

Este parcheo no corrige el problema en los posts donde ya se haya reproducido pero han creado un script de escaneo para buscarlos (hay que subir el directorio raiz del phpBB). Comentan además que la versión también corrige un problema con el plugin recaptcha que podría haberlo vuelto vulnerable permitiendo a los spammers campar a sus anchas por los sitios afectados.

Recomiendan actualizar lo antes posible y aquí viene el tirón de orejas ya que comunican que solo darán soporte a las versiones 3.0.8, tanto instaladas de cero, como actualizadas o convertidas. Me parece de bastante mal gusto dejar con el culo al aire a la gente que esté usando versiones anteriores, se tiran ocho meses para sacar una versión nueva y encima de desentienden de los que no actualicen, recuerdo el cachondeo que se traian con las versiones 2.0.x que tenían que ser parcheadas por los propios usuarios sin ningún tipo de soporte porque estaban de lleno en el desarrollo de la versión 3 y ahora, con esto, parece que vuelven a la andadas.

El anuncio original con los enlaces de descarga, aquí.

Tags: , , , , , ,

« Previous Page Next Page »
Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)    Ver
Privacidad