Daboweb | Seguridad y ayuda informática |

El equipo de seguridad de Joomla ha anunciado la inmediata disponibilidad de la versión de seguridad 1.5.18 que corrige una seria vulnerabilidad XSS afectando a la versión 1.5.7 y todas las anteriores de la rama 1.5x.

Caso de ser explotado, el bug puede llevar a la inyección de código Javascript por parte de un usuario sin privilegios en el «Back-end» (panel de usuario) hacia la pantalla o sesión de un administrador con las fatales consecuencias que puede tener para el CMS. Ha sido reportada por Riyaz Ahemed y se recomienda actualizar a la mayor brevedad posible.

Más información en el anuncio oficial | Sobre el XSS.

Ayer os hablábamos del lanzamiento de Joomla 1.5.16 y los dos bugs que venían con esa recién estrenada versión.Tal y como comentamos, se comprometieron a solventarlos el día 27 y no han fallado.

Ya está disponible Joomla 1.5.17, una actualización más que recomendable para quienes vengan de una 1.5.15 y obligada para estar exenta de problemas en el caso de hayáis actualizado a la 1.5.16.

Sí, el título más bien parece un titular, pero quizás de este modo, esperes a que a lo largo de este día 27, tal y como comentan en el anuncio oficial de Joomla (un más que completo gestor de contenidos) aparezca la versión 1.5.17.

El pasado día 23 se anunciaba el lanzamiento tras 6 meses de espera de la versión 1.5.16, acto seguido, se reportaron 2 graves bugs si esa instalación iba bajo versiones de PHP anteriores a la 5.2, o con la opción del parámetro «Session Handler» con valor «none» en la configuración global de PHP.

De modo que si no has migrado de la 1.5.15 a la 1.5.16, no lo hagas y espera al lanzamiento de la aunciada versión 1.5.17 que a lo más tardar será mañana.

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x, versión de mantenimiento que soluciona errores menores, como de costumbre y varios problemas de seguridad (más info, eng).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Recordamos que esta nueva actualización no pisa los archivos robots.txt y settings.php (el que va por defecto) como viene siendo habitual en las últimas versiones/actualizaciones; aún así desde aquí recomendamos hacer copia de estos archivos, de la base de datos y de cualquier archivo importante por lo que pudiera pasar.

En cambio el .htaccess sí ha vuelto a cambiar (más info, eng). Desde la web de Drupal recomiendan encarecidamente la actualización completa a esta última versión.

• Anuncio oficial.
• Descarga versión 6.16
• Descarga versión 5.22
• Parche versión 6.15
• Parche versión 5.21

Hace unos días os anunciamos el lanzamiento de la versión 3.0.7 del sistema de foros phpBB y el equipo de desarrollo acaba de anunciar una nueva versión 3.0.7-PL1 que solventa un problema de seguridad no corregido en esa versión.

Además de comentar que el fallo surgió una semana después del lanzamiento de la versión 3.0.7 y que no cumplieron alguna promesa del pasado, se insta a actualizar con urgencia a los que instalaron esa versión dado que hay un bug crítico en el manejo de feeds que bajo determinadas circunstancias podría comprometer seriamente la seguridad del CMS.

Además, para quienes no quieran instalar esta nueva versión, ponen a nuestra disposición el código a insertar para solventar la vulnerabilidad;

El problema se soluciona cambiando sólo una línea en feed.php, (línea 525)

Buscar:

$forum_ids = array_keys($auth->acl_getf('f_read'));

Reemplazar por:

$forum_ids = array_keys($auth->acl_getf('f_read', true));

Más info | Descarga de phpBB versión 3.0.7-PL1

Nueva versión estable del sistema de foros phpBB, esta nueva versión está considerada de mantenimiento ya que corrige un gran número de errores detectados en versiones precedentes.

Desde la comunidad oficial informan de que solo darán soporte a aquellos que haya actualizado a esta nueva versión y que en el caso de utilizar un idioma diferente del inglés [GB] se compruebe en la zona de descargas la disponibilidad de la versión actualizada del paquete de idioma correspondiente.

Existen además opciones de descarga para actualizar los archivos nuevos sin necesidad de realizar una actualización completa del sitio o tener que hacer la instalación desde cero.

Para no perder las buenas costumbres recordamos la importancia de hacer copia de seguridad del sitio y de los datos importantes antes de comenzar la actualización.

Información sobre phpBB 3.0.7 | Zona de Descargas

Nueva versión de WordPress disponible que viene a solucionar un problema reportado por Thomas MacKenzie según el cual bajo determinadas circunstancias se podría producir el borrado de entradas almacenadas en la papelera por parte de usuarios no autorizados en blogs con el registro de usuarios activado.

Se recomienda actualizar. Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga. Entrada en WP.org.

Llegó finalmente la nueva versión 2.9.1 que corrige el error que comentábamos hace apenas 10 días y previo paso por una RC1 que ha durado como 4.

Después de más de 1 millón de descargas de la versión 2.9 nos llega la susodicha actualización para actualizar nuestros blogs, ya sea de la forma tradicional o desde el panel de admin.

Si bien el problema no afectaba a todo el mundo nunca viene de más estar prevenido y utilizar la última versión que suele ser siempre más fiable y estable en todos los aspectos ya que además del bug que nos ocupa se han corregido un buen número de otros menos importantes.

Se recomienda actualizar a la mayor brevedad posible. Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga. Entrada en WP.org.

Si eres de los que una vez instalada la última versión de WordPress (2.9) tal y como os informamos hace unos días, estás teniendo problemas con la versión 2.9, ve pensando en aplicar esta solución que nos proponen desde WordPress.

Hablamos de trackbacks o pingbacks que no llegan, entradas programadas que no se publican, etc, estos problemas se solucionan con la instalación de WordPress 2.9.1 Beta.

Se corrigen además otros fallos en el funcionamiento normal del CMS, por lo que si eres uno de los afectados, no dudes en instalar esta versión. Más información en WordPress Blog. (ENG).

Aclarar que no recomendaríamos de este modo instalar una versión Beta (no final) si no fuera porque el propio equipo de desarrollo así lo hace.

Os reseño además nuestra guía rápida para actualizar WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Nueva versión de nuestro CMS favorito, Wordpess 2.9 llega bajo el nombre en clave de Carmen, en honor a la vocalista de Jazz Carmen McRae. Esta nueva versión soluciona del orden de los 500 tickets y montones de bugs y pequeños problemillas y ha sido posible gracias a 140 personas que han contribuido a la mejora del sistema.

Entre las novedades más destacadas de esta nueva versión tenemos las siguientes:

• Deshacer/Papelera global, se eliminan los comentarios de confirmación para eliminar contenidos y se hacen recuperables desde la papelera.
• Editor de imágenes, permite recortar, editar, rotar, voltear, y escalar imágenes sin necesidad de ir a un editor externo o instalado en el equipo.
• Actualizar plugins en lote; ahora se pueden actualizar hasta 10 plugins de un golpe sin necesidad de ir uno por uno en la página de plugins. También se añade un comprobador de compatibilidad con las nuevas versiones.
• Easier video embeds; simplemente con añadir la url de un vídeo en su campo correspondiente el sistema genera el código para mostrar el vídeo, de momento soporta los siguientes sitios: YouTube, Daily Motion, Blip.tv, Flickr, Hulu, Viddler, Qik, Revision3, Scribd, Google Video, Photobucket, PollDaddy, y WordPress.tv. En el futuro añadirán más.

Se recomienda actualizar a la mayor brevedad posible. Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga. Entrada en WP.org.

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y ninguna vulnerabilidad de seguridad crítica (buena cosa).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Recordamos que esta nueva actualización no pisa los archivos robots.txt y settings.php (el que va por defecto) como viene siendo habitual en las últimas versiones/actualizaciones; aún así desde aquí recomendamos hacer copia de estos archivos, de la base de datos y de cualquier archivo importante por lo que pudiera pasar.

En cambio el .htaccess sí se ha cambiado para permitir el cacheado de los encabezados de los Scripts en PHP (más info, eng).

• Anuncio oficial.
• Descarga versión 6.15
• Descarga versión 5.21
• Parche versión 6.14
• Parche versión 5.20

El equipo de desarrollo del sistema de foros phpBB acaba de anunciar la nueva versión «Fast and Furrious» etiquetada como la 3.0.6.

Anuncian la corrección de numerosos fallos desde la anterior 3.0.5.

Recordamos la conveniencia, siempre, de realizar copias de seguridad de los datos antes de proceder a actualizar.

Información sobre phpBB 3.0.6 | Zona de Descargas |

Nueva actualización para Joomla!, 1.5.14 de nombre Wojmamni ama mamni y que corrige algunos errores de la versión precedente e incluye una actualización de seguridad de nivel bajo y otra de nivel moderado.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Los que hayan modificado la plantilla original deben de asegurarse de tener una copia de seguridad de los archivos porque la actualización los pisará.

Descarga actualización.
Descarga paquete completo 1.5.14.
Anuncio oficial con toda la información.

La gente de phpBB se está tomando muy en serio el lanzamiento de la próxima versión de su sistema de foros, un nuevo lanzamiento de versión candidata, la cuarta, camino de la versión estable y definitiva.

En esta nueva versión candidata se han corregido diferentes errores y bugs y se ha mejorado sustancialmente la estabilidad del producto.

Las recomendaciones son las mismas que en las RC anteriores (enlaces un poco más abajo), especialmente la de no usarla  en un sitio en producción, por lo que pudiera pasar.

Una cosa importante para poder probar la versión candidata es que no se pueden usar archivos de la versión 3.0.4, cualquier archivo que no sea de la 3.0.5 debe ser repuesto por el original para poder instalar la RC4 de la versión 3.0.6; podeis leer todas las novedades que incluye esta nueva versión en el anuncio en el sitio oficial.

Información sobre phpBB 3.0.6 RC4 | Zona de Descargas