Daboweb | Seguridad y ayuda informática |

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Enero de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Enero 2012;

• 31: Problema de seguridad en sudo
• 26: Herramientas para la interpretación de capturas de red. (9/10) Parte 2
• 26: Navegador web Opera (11.61) solventa dos bugs, uno de ellos catalogados como crítico.
• 25: [Breves] Kernel linux-3.2.x soporta conector midi UM-ONE
• 25: Joomla! 2.5.0 y 1.7.4 actualizaciones de seguridad
• 24: [Breves] Actualización en Kernel de Ubuntu 10.10 solventa 3 vulnerabilidades.
• 23: Vulnerabilidades en Apache Tomcat 5, 6 y 7
• 22: Vulnerabilidades severas en phpMyAdmin. Debian Security (DSA-2391-1).
• 20: El FBI cierra Megaupload
• 19: Sobre la responsabilidad de la (IN) Seguridad. Interesante reparto / repaso
• 18: Contra la Ley #SOPA y en defensa de nuestros Derechos y Libertades Civiles
• 17: LibreOffice 3.4.5
• 17: Vulnerabilidades severas en Linux Kernel para Debian (DSA-2389-1).
• 16: Herramientas para la interpretación de capturas de red. (9/10) Parte 1
• 15: Comprueba vía web si tu equipo está afectado por “DNSChanger”.
• 12: Actualizaciones de Adobe Acrobat X y Reader X solucionan graves vulnerabilidades
• 11: Actualizaciones de Microsoft Enero de 2012
• 10: En Intypedia. Nuevo vídeo, lección 12. Seguridad en redes WiFi
• 03: [Breves] Disponible WordPress 3.3.1. Actualización de seguridad
• 02: Foros phpBB 3.0.10, versión de mantenimiento
• 02: Fallos de seguridad en WhatsApp
• 02: Contenidos publicados en Daboweb. Diciembre 2011

Dos nuevas actualizaciones para Joomla!, concretamente la versión 1.7.4 de la rama 1.7 (obvio) y la versión 2.5, ambas catalogadas como de seguridad por el equipo de desarrollo. Ésta última contiene 26 nuevas características, 4 problemas de seguridad corregidos y otros 356 no catalogados como de seguridad, de los importantes dos han sido catalogados de prioridad baja (Low Priority – Core – Information Disclosure 1,2)y los otros dos de prioridad media (Medium Priority – Core – XSS Vulnerability 1, 2)

La rama 1.7.4 corrige esos mismos cuatro problemas de seguridad, en cualquier caso es importante actualizar. Además se informa que la rama 1.7 finalizará dentro de un mes, el 24 de Febrero de 2012 y se recomienda migrar ya a la versión 2.5 que está asignada como LTS y ofrece al menos 18 meses de soporte.

Al mismo tiempo se ha publicado un anuncio oficial sobre la versión 2.5 recalcando algunos aspectos nuevos como la notificación automática de actualizaciones, tanto del núcleo como de extensiones, la búsqueda avanzada y compatibilidad con Microsoft SQL Server.

Anuncio oficial (1.7.4) | Anuncio oficial (2.5). | Noticia sobre novedades.

Se han reportado varias vulnerabilidades explotables tanto local como remotamente en el Kernel Linux para Debian. De un impacto para el sistema catalogado por Debian como «severo», caso de que los fallos de seguridad localizados sean aprovechados por atacantes, podrían ocasionar denegación de servicio (DoS), la revelación de información sensible sobre el sistema o una escalada de privilegios.

Debido al alcance de estas vulnerabilidades, desde Daboweb os recomendamos actualizar el Kernel a la mayor brevedad posible. En la actual rama estable de Debian (6.0) «Squeeze», los problemas se solventan con la instalación de la versión 2.6.32-1um-4+39squeeze1.

Para la anterior versión estable «Olstable» Debian (5.0) «Lenny», las actualizaciones llegarán próximamente (cabe recordar que el 14-2-2012 dejará de recibir actualizaciones de seguridad).

Lista de bugs corregidos;

CVE Id(s) : CVE-2011-2183 CVE-2011-2213 CVE-2011-2898 CVE-2011-3353 CVE-2011-4077
CVE-2011-4110 CVE-2011-4127 CVE-2011-4611 CVE-2011-4622 CVE-2011-4914. 

Más información (ENG).

Se nos han escapado varias actualizaciones de Joomla! por diversos motivos, de hecho esta última actualización fué liberada el pasado día 14 y todavía ahora nos estamos haciendo eco de la misma. En principio y al menos en mi caso el RSS no funciona muy bien y no termino de recibir las actualizaciones con cierta normalidad, de hecho en esta última me han aparecido cinco versiones nuevas (tres de la rama 1.7 y dos de la 1.5).

Cómo sea la 1.5.25 viene con un problema de seguridad de nivel alto, un agujero de seguridad en la petición de cambio de la contraseña que debido a una generación de contraseñas débiles permiten cambiar las mismas de los usuarios en medio del proceso.

En la rama 1.7 encontramos el mismo problema, que además afecta a todas las versiones 1.6.x y otra vulnerabilidad de prioridad media.

Anuncio oficial (1.7.3) | Anuncio oficial (1.5.25).

Se encuentra disponible para su descarga la última versión estable del Kernel (o núcleo) de GNU/Linux, concretamente la número  3.1.3.

Os invitamos a consultar a través del siguiente enlace el Listado de cambios o “Changelog” de esta nueva entrega del Kernel.

Información sobre el Kernel en la Wikipedia.

FAQS o preguntas frecuentes sobre el Kernel Linux.

Descargar Kernel Linux.

Al igual que viene sucediendo con anteriores versiones, Firefox 8 ya está disponible para su descarga (versión final) a través de los FTP de la fundación Mozilla. En este caso, aún sin el anuncio oficial con la lista de cambios y según leemos en el blog amigo Gespadas, hay cambios en cómo se gestionan y activan los complementos, Twitter se agrega a la barra de búsquedas, nueva opción de cargar sólo las pestañas que se hayan seleccionado previamente, además de otros útiles para desarrolladores, etc.

Descargas directas (otros idiomas en el link de Gespadas)

Windows (es-ES) | Mac OS X (es-ES) | GNU/Linux 32 bits (es-ES) | GNU/Linux 64 bits (es-ES

De todos modos, para quienes quieran esperar al lanzamiento «oficial» pronto lo verán desde el canal automático de actualizaciones de Firefox en el mismo navegador.

Disponible desde el Nauscopio, una nueva actualización de la lista de filtros anti-publicidad del complemento AdBlock Plus tanto para Chrome como para Firefox.

Según nos cuenta Maty (gracias de nuevo por el trabajo realizado);

105 filtros más. La mayoría se refieren a medios de (in)comunicación. No sólo publicidad, también numerosos contadores de visitas, en especial los referidos a impactos publicitarios.

• http://abp.mozilla-hispano.org/nauscopio/filtros.txt

Información sobre su instalación y dudas

• Nauscopio Scipiorum Archivo “hosts” nauscópico para combatir publicidad, páginas peligrosas, spam, etc
• Nauscopio Scipiorum Adblock Plus Pop-up Addon y lista de filtros antipublicidad (AdBlock) nauscópicos para Firefox
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en navegadores Gecko
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en Google Chrome
• Mozilla Hispano AdBlock Plus: Filtros nauscópicos antipublicidad

Disponible desde el Nauscopio, una nueva actualización de la lista de filtros anti-publicidad del complemento AdBlock Plus tanto para Chrome como para Firefox.

Según nos cuenta Maty (de nuevo enhorabuena por tu trabajo);

Casi 140 filtros nuevos más y otros eliminados. Mañana otro añadido vía fichero hosts. En unos días escribiré una anotación índice que incluya todos los sistemas nauscópicos utilizados para filtrar la publicidad en estos momentos.

Descarga de la lista de filtros.

Información sobre su instalación y dudas

• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en navegadores Gecko
• Nauscopio Scipiorum Filtrado, Bloqueo y Ocultación de la publicidad en Google Chrome

• Mozilla Hispano AdBlock Plus: Filtros nauscópicos antipublicidad

Adobe acaba de publicar múltiples parches para sus productos; FlashPlayer, ShockwavePlayer, FlashMediaServer, Photoshop CS 5 y RoboHelp que vienen a solventar varias vulnerabilidades, siendo catalogadas por el fabricante como «críticas» por lo que es más que recomendable su inmediata actualización.

Para ver el impacto sobre el sistema además de los detalles de los bugs solventados por las nuevas versiones, a continuación los enlaces a la información original de Adobe; (En Inglés)

• APSB11-19 – Security update available for Adobe Shockwave Player (Critical Severity)
• APSB11-20 – Security update available for Adobe Flash Media Server (Critical Severity)
• APSB11-21 – Security update available for Adobe Flash Player (Critical Severity)
• APSB11-22 – Security update available for Adobe Photoshop CS5 (Critical Severity)
• APSB11-23 – Security updates available for RoboHelp (Important Severity)

Las vulnerabilidades afectan según el software a Windows, GNU/Linux y Mac OS X.

Se encuentra disponible para su descarga la última versión estable del Kernel (o núcleo) de GNU/Linux. Concretamente la número; 3.0.

FAQS o preguntas frecuentes sobre el Kernel Linux.

Descargar Kernel Linux.

Se encuentra disponible para su descarga e instalación la nueva versión de Foxit Reader 5.0.2 para equipos con sistema operativo Windows, que solventa una grave vulnerabilidad para las versiones 5.0. y anteriores que entre otras, podría permitir la ejecución de código arbitrario al abrir determinados archivos PDF.

Recordemos que  Foxit Reader es un visor de archivos PDF gratuito para sistemas windows, que cuenta con interesantes funcionalidades para su empleo.

Y es que, «debemos instalar las actualizaciones en cuanto se publiquen para tener el sistema totalmente actualizado, ya que de lo contrario, algún malware podría aprovecharse de estas debilidades e infectar nuestros equipos.», como ya indicábamos en una de nuestras entradas de seguridad básica;  Mantener el sistema operativo y el software actualizados.

En el siguiente enlace cuentas con un pequeño manual para actualizar Foxit Reader, que te facilitará la tarea.

Tras más de cuatro años desde la última versión, se encuentra disponible la nueva versión de PuTTY 0.61, un ligero y potente cliente Telnet/SSH libre y gratuito para plataformas Windows-Unix con nuevas características, correcciones de errores y actualizaciones de compatibilidad para Windows 7 y diversos programas de servidor de SSH.

Listado de cambios.

Así empieza el anuncio original del lanzamiento de WordPress 3.2; Are You Ready for WordPress 3.2? Quizás ese «¿y tu servidor web? debería ir en el título, los requisitos mínimos han cambiado y debes saber que la versión 3.2 pide que se ejecute PHP 5.2.4 y MySQL 5.0.

Si tu plan de alojamiento no cumple esos mínimos, no te saldrá el aviso de actualización en tu tablero o panel de administración, si vas a «actualizaciones» verás el aviso de que no se cumplen las características anteriormente comentadas.

Este detalle de los requisitos, no es algo para no tener en cuenta, ya que si bien en la mayoría de los casos con MySQL no habrá tanto problema al estar la mayoría con 5.0x, hay servidores que no están con PHP 5.2.4 o superior (ya hay usuarios comentando este hecho) aunque a «fuerza» de demandarlo, las empresas de hosting que alojan entre muchos otros CMS (gestores de contenidos) WordPress, por su propio interés irán poniendo al día PHP y MySQL aunque quizás no hablemos ni de un 5% de los casos.

Hablando de requerimientos, comentan que dejan de dar soporte a Internet Explorer 6, un navegador ya con 10 años de vida y ampliamente superado por nuevas versiones y si tu navegador es antiguado te saldrá un mensaje en el panel de admin (dicen que eso sí, amigable;) «amarillo anaranjado» indicando que hay una versión más reciente del mismo. De todos modos, se entiende que además lo harán con versiones obsoletas de navegadores como Firefox, Chrome o Safari.

¿Novedades más destacadas?

El editor TinyMCE se ha hecho más «2.0», ahora es más moderno y se puede combinar la vista habitual con otra más minimalista y que no distrae tanto cuando escribes (a Matt, creador de WordPress es una de las novedades que más le gustan, la visión «zen» con un click).

El panel de administración también ha tenido un nuevo rediseño y ahora es también más rápido cuando se accede, hablando de velocidad, es un punto en el que comentan que han trabajado a fondo (es cierto que se ve todo más fluido según he podido comprobar).

El tema por defecto, Twenty Eleven, todo bajo HTML5 y la verdad con muy buena pinta además de con variadas opciones de configuración. También habrá mejoras visibles en las actualizaciones, los enlaces internos vía el editor HTML, etc.

Hay que tener en cuenta que quizás en este momento no todos los plugins que estás usando puedan hacerlo bajo la versión 3.2 pero los más populares ya están preparados y el resto se entiende que estos días irán actualizándose.

Podéis actualizar vía vuestro panel de admin o desde la página de descargas de WordPress.

Disponible desde el nauscopio, una nueva actualización de la lista de filtros anti-publicidad del complemento AdBlock Plus tanto para Chrome como para Firefox.

Se incluyen 50 filtros nuevos . Descarga de la lista de filtros

Nueva versión disponible para todos sus usuarios y aquellos que se decidan a probarla de Linux Mint, que con esta alcanza la número 11 y que destaca sobre todo por su sencillez de uso y deleitará sobre todo a los que se hayan decantado por el uso del entorno de escritorio Gnome.
Son muchas las novedades que trae Linux Mint 11 «Katya», sobre todo a nivel visual, ya que se han hecho ajustes en el tema por defecto o en el gestor de actualizaciones y otras aplicaciones incorporadas. De reseñar es que venga con la suite ofimática LibreOffice, alternativa libre a OpenOffice cuyo desarrollo ha sido abandonado por Oracle. Incluye también nuevas versiones en los paquetes de software y del nucleo mismo del sistema.