Daboweb | Seguridad y ayuda informática |

Se ha liberado una nueva versión de WordPress, la 3.0.4 que soluciona un problema de seguridad con la librería de saneamiento de HTML que se encuentra en /wp-includes/kses.php (más info)

Es una vulnerabilidad calificada como crítica del tipo XSS y se recomienda la actualización del sitio a la mayor brevedad posible por cualquiera de los métodos habituales.

Los siguientes archivos han sido revisados en la nueva versión:

wp-includes/version.php
wp-includes/formatting.php
wp-includes/kses.php
readme.html
wp-admin/includes/update-core.php

Muy recomendable actualizar (imprescindible más bien). Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Noticia en WordPress.org | Descarga.

Ha sido liberada la versión 6.20 de este gestor de contenidos, es una versión de mantenimiento que no incluye actualizaciones críticas ni de seguridad pero que corrige un buen número de errores.

En la misma noticia recuerdan que la versión 5 dejará (o ha dejado) de actualizarse por la liberación inminente de la nueva versión 7 que va actualmente por la RC2 (segunda versión candidata a versión final); recomiendan actualizar a la versión 6 (mínimo).

El archivo robots.txt ha cambiado (más info) y recordamos que esta nueva actualización no pisa los archivos settings.php (el que va por defecto) y .htaccess; aún así desde aquí recomendamos hacer copia de estos archivos, de la base de datos y de cualquier archivo importante por lo que pudiera pasar.

• Anuncio oficial.
• Descarga versión 6.20

Se ha liberado una nueva versión de WordPress, la 3.0.3 que soluciona un problema de seguridad con la publicación remota.

Este problema solo afecta a aquellos usuarios que tengan esta función activada, la cual se puede comprobar en Opciones de Escritura, el fallo afecta a todas las versiones anteriores y es más que recomendable la actualización.

Recomendable actualizar. Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Noticia en WordPress.org | Descarga.

Se ha liberado una nueva versión del sistema de foros phpBB, desde Marzo de este año no ha salido ninguna versión nueva así que los cachondos de phpBB le han puesto la muletilla «la paciencia es una virtud». Esta nueva versión que está considerada como de mantenimiento (WTF?) corrige un gran número de errores, mejora la usabilidad y el rendimiento y como dicen, por desgracia, tambien encontraron un agujero de seguridad en la versión 3.0.7 que afecta a aquellos foros que tienen el flash bbcode activado (por defecto está desactivado). El problema estaría en navegadores basados en WebKit donde el flash bbcode podría ser usado para ejecutar código javascript y aprovechar una vulnerabilidad de CSS (Cross Site Scripting).

Para solucionar ese problema en versiones 3.0.7 hay que ir a includes/message_parser.php y buscar la siguiente línea:

// Apply the same size checks on flash files as on images

Justo antes de esa línea añadimos lo siguiente:

$in = str_replace(' ', '%20', $in);

// Make sure $in is a URL.
if (!preg_match(‘#^’ . get_preg_expression(‘url’) . ‘$#i’, $in) &&
!preg_match(‘#^’ . get_preg_expression(‘www_url’) . ‘$#i’, $in))
{
return ‘[flash=’ . $width . ‘,’ . $height . ‘]’ . $in . ‘[/flash]’;
}

Este parcheo no corrige el problema en los posts donde ya se haya reproducido pero han creado un script de escaneo para buscarlos (hay que subir el directorio raiz del phpBB). Comentan además que la versión también corrige un problema con el plugin recaptcha que podría haberlo vuelto vulnerable permitiendo a los spammers campar a sus anchas por los sitios afectados.

Recomiendan actualizar lo antes posible y aquí viene el tirón de orejas ya que comunican que solo darán soporte a las versiones 3.0.8, tanto instaladas de cero, como actualizadas o convertidas. Me parece de bastante mal gusto dejar con el culo al aire a la gente que esté usando versiones anteriores, se tiran ocho meses para sacar una versión nueva y encima de desentienden de los que no actualicen, recuerdo el cachondeo que se traian con las versiones 2.0.x que tenían que ser parcheadas por los propios usuarios sin ningún tipo de soporte porque estaban de lleno en el desarrollo de la versión 3 y ahora, con esto, parece que vuelven a la andadas.

El anuncio original con los enlaces de descarga, aquí.

Ha sido liberada la versión 1.5.22 bajo el nombre “senu takaa ama woi” considerada de seguridad y con la recomendación de actualizar inmediatamente.

Es un problema de inyección SQL, calificado como de prioridad baja que afecta a todas las versiones de la rama 1.5.x incluida la 1.5.21

Anuncio oficial | Info sobre el XSS

El equipo de desarrollo de Joomla acaba de anunciar la inmediata disponibilidad de la versión 1.5.21 liberada con el nombre «senu takaa ama wepulai» que solventa una vulnerabilidad XSS reportada por YGN Ethical Hacker Group.

Dado que es una actualización de seguridad, se recomienda desde Joomla actualizar el software a la mayor brevedad posible para paliar este bug, que afecta a todas las versiones 1.5.x incluyendo la 1.5.20..

Anuncio oficial | Info sobre el XSS

La gente de Automattic ha liberado la versión 2.6 de la app de WordPress para dispositivos móviles de Apple; iPhone, iPad y para iPod Touch.

Esta versión incluye mejoras como la posibilidad de grabar vídeo desde la aplicación y publicarlo directamente en el sitio, el autoguardado de borradores o mejoras en el modo de agregar sitios a la aplicación (para los muy bloqueros).

Se puede comprar en la itunes store de apple y para los que posean otros dispositivos diferentes hay igualmente soluciones bajo licencia GPL; para Android, Nokia (beta) y Blackberry.

Fuente: WordPress.org

Info completa: ios wordpress.

Desde el sitio oficial de WordPress nos llega una nueva actualización de nuestro sistema favorito de publicación de blogs, la primera actualización de la última versión considerada de mantenimientos con corrección de 54 tickets de menor importancia.

Sin duda excelentes noticias ya que una vez más queda demostrado que en WordPress siguen trabajando para mejorar el sistema sin necesidad de que salga un bug gordo o de una actualización fuerte, los pequeños detalles también son importantes.

Recomendable actualizar. Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga. Entrada en WP.org.

Desde el sitio web de WordPress anuncian el fín del soporte para PHP 4 y MySQL 4. Con datos en la mano la gente de WordPress estima que es el momento de pasar a versiones superiores ya que otros CMS como Drupal o Joomla! corren sobre estas y los vendedores de alojamiento migrarán completamente en breve, los que no lo hagan se pueden encontrar con el problema de que los clientes que usen WordPress para sus blog no puedan instalar las futuras versiones así que como bien dicen habrá que ponerse las pilas para mantener el negocio funcionando.

Con motivo de este brusco cambio recomiendan la instalación y ejecución de un plugin que confirmará si nuestro alojamiento está preparado para correr  WordPress 3.2 (la versión que implementará ambas novedades) y, más adelante, nos dará información útil sobre el mismo, desde la web oficial recomiendan tenerlo como imprescindible de cara al futuro a medio/largo plazo.

Según los datos facilitados sólo un 11% de las instalaciones de WordPress corren en una versión inferior a PHP 5.2 mientras que sólo un 6% lo hace en MySQL 4; por estos motivos WordPress 3.1, prevista para finales de este año,  será la última actualización que soporte ambas versiones de PHP y MySQL y la versión 3.2 (primer semestre de 2011) ya será completamente funcional bajo PHP 5.2 (o superior) y MySQL 5.0.15 (o superior).

Os mantendremos informados sobre estos puntos convenientemente.Lee la noticia original (en inglés).

Apenas 3 días después de la actualización a la versión 1.5.19 llega una nueva actualización de seguridad con carácter urgente, desde el sitio de Joomla! recomiendan actualizar inmediatamente.

De nombre senu takaa en el anuncio oficial no especifican cual es el problema que ha llevado a esta nueva actualización en tan poco tiempo pero viendo el listado de noticias en el centro de seguridad llegamos a la conclusión de que son tres relacionadas con la posibilidad de que un usuario pueda inyectar código javascript en pantallas de administración, vulnerabilidades XSS (1, 2, 3) y una de inyección SQL (1) que afectan a todas las versiones de la rama 1.5.x incluida la susodicha 1.5.19 con lo cual es recomendable actualizar lo antes posible a esta última 1.5.20 ó alguna superior si saliese.

Descarga actualización.
Descarga paquete completo 1.5.20.
Anuncio oficial con toda la información.

Nueva actualización para Joomla!, 1.5.19 de nombre Wojmamni ama batani y que corrige varios problemas de seguridad.

Son 3 actualizaciones de prioridad media y 1 de prioridad baja.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.
Descarga paquete completo 1.5.19.
Anuncio oficial con toda la información.

Se ha liberado la versión final de WordPress 3.0 de nombre Thelonious con montones de novedades como viene siendo habitual en los cambios de numeración en las diferentes versiones. La descarga se puede realizar como siempre  desde el sitio de WordPress para una instalación limpia o realizar la actualización de forma automágica mediante el panel de administración del propio CMS.

Entre las numerosas novedades tenemos la posibilidad de cambiar fácilmente el usuario admin por cualquier otro nombre que queramos, lo cual para los amantes de la seguridad es una gran noticia.

Desaparece así mismo el concepto de WordPress MU y queda todo integrado dentro del mismo sistema de forma que podremos crear múltiples blogs dentro de nuestro dominio sin necesidad de complementos. Del mismo modo se pueden personalizar plantillas diferentes para cada autor.

Fondo personalizado, nuevo diseño en el tablero, nuevo tema por defecto y un largo etcétera. Podeis consultar la lista de novedades en Ayuda WordPress (en castellano) o en la entrada en WordPress.org (enlace al final de la entrada) en un vídeo de alta calidad que han subido. En Ayuda WordPress además han publicado un recopilatorio de enlaces con diferente información sobre WordPress 3.

Imprescindible actualizar. Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga. Entrada en WP.org.

Este fin de semana os informábamos del esperado lanzamiento de la versión 1.5.4 de Coppermine, según informan desde Coppermine, una errata en dicha versión, llevó a la necesidad de crear a otra nueva versión estable.

Esta release llega bajo la denominación de 1.5.6 (no pasa a la 1.5.5 porque los números pares al final son para las versiones estables). Anuncio oficial Coppermine 1.5.6 Release.

Adicionalmente, con este lanzamiento, vienen las siguientes mejoras;

* Fixed broken link
* Extended lang_byte_units array for some language files
* Fixed ip address dupes at various places
* Updated Czech language file (user contribution)
* Fixed typo that caused the display of the ‘not supported version’ message box
* Fixed issue when uploading plugins to windows driven galleries
* Fixed issue when creating users
* Fixed log file entry on user registration/creation
* Removed cpg1.3.x theme upgrade guide, as a direct upgrade from cpg1.3.x to cpg1.5.x no longer is supported
* Differentiate user registrations and admin user creations in access log file
* Fixed config value for path to ImageMagick when selecting GD during intallation
* Fixed query for album moderation group
* Fixed display of upload approval button

Así han titulado el post desde Coppermine para anunciar el lanzamiento de la esperada versión 1.5.4 estable (dos años y medio) de este popular y extendido CMS para gestionar galerías fotográficas.

Por lo que se puede leer, han trabajado duro sobre la usabilidad y posibilidades de extensión de Coppermine, además, dan las gracias a toda la comunidad por el intenso trabajo realizando pruebas, traducciones, demandar funcionalidades, desarrollando temas gráficos o plugins.

Novedades más destacables;

• Built in Captcha engine
• Built in Watermark engine
• New Upload Interface
• Improved Groups control
• Improved Category Management tool
• Drag and drop sorting of albums
• Improved Search engine
• New core ‘Curve’ theme
• Improved image tagging
• Enhanced plugin engine.

Toda la información en el anuncio oficial de la nueva versión estable.

Nueva versión de mantenimiento para Drupal, esta versión no incluye ninguna actualización de seguridad pero aún así es recomendable actualizar a esta nueva versión que corrige pequeños fallos de versiones anteriores.

Entre la lista de correcciones se encuentra un mejor manejo de las sesiones a través de las cookies, mejora la compatibilidad con PostgreSQL, PHP 5.3, PHP 4 ..