Daboweb | Seguridad y ayuda informática |

phpBB vuelve a la carga con la tercera RC de la próxima versión 3.0.6 de su sistema de foros. Las recomendaciones son las mismas de siempre,  las que anunciamos en la RC1 y en la RC2.

En esta nueva versión candidata se han corregido gran cantidad de errores y se ha mejorado sustancialmente la estabilidad del producto.

Una cosa importante para poder probar la versión candidata es que no se pueden usar archivos de la versión 3.0.4, cualquier archivo que no sea de la 3.0.5 debe ser repuesto por el original para poder instalar la RC2 de la versión 3.0.6; podeis leer todas las novedades que incluye esta nueva versión en el anuncio en el sitio oficial.

Información sobre phpBB 3.0.6 RC3 | Zona de Descargas

Desde el sitio de phpbb informan del lanzamiento de la segunda versión candidata a versión de final del sistema de foros del mismo nombre. Recordamos que esta versión no es una versión final y que no es recomendable usarla en un sitio funcional, es una versión para usar en modo local o en un servidor de pruebas para encontrar y reportar fallos para seguir evolucionando el sistema de cara a la versión final y estable.

Recordamos que para seguir los lanzamientos de versiones candidatas hay  una lista de correo al efecto.

Una cosa importante para poder probar la versión candidata es que no se pueden usar archivos de la versión 3.0.4, cualquier archivo que no sea de la 3.0.5 debe ser repuesto por el original para poder instalar la RC2 de la versión 3.0.6; podeis leer todas las novedades que incluye esta nueva versión en el anuncio en el sitio oficial.

Información sobre phpBB 3.0.6 RC2 | Zona de Descargas |

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y varias vulnerabilidades de seguridad críticas; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Desde la web de Drupal recomiendan instalar la nueva versión en lugar de utilizar el parche ya que estos no corrigen todos los bugs solucionados, solamente las vulnerabilidades críticas. Del mismo modo se informa de que esta nueva actualización no pisa los archivos .htaccess, robots.txt y settings.php (el que va por defecto) como venía siendo habitual en las últimas versiones/actualizaciones; aún así desde aquí recomendamos hacer copia de estos archivos, de la base de datos y de cualquier archivo importante por lo que pudiera pasar.

En esta versión es importante ejecutar el archivo update.php ya que la nueva versión incluye cambios en la base de datos que deben de ser actualizados.

• Anuncio oficial.
• Descarga versión 6.14
• Descarga versión 5.20
• Parche versión 6.13
• Parche versión 5.19

Desde el sitio de phpbb informan del lanzamiento de la primera versión candidata a versión de final del sistema de foros del mismo nombre. Recordamos que esta versión no es una versión final y que no es recomendable usarla en un sitio funcional, es una versión para usar en modo local o en un servidor de pruebas para encontrar y reportar fallos para seguir evolucionando el sistema de cara a la versión final y estable.

Se ha comunicado también que es muy seguro que salga otra RC antes de la versión final, como mínimo, y que para seguir los lanzamientos de versiones candidatas hay que hacerlo mediante una lista de correo al efecto.

Una cosa importante para poder probar la versión candidata es que no se pueden usar archivos de la versión 3.0.4, cualquier archivo que no sea de la 3.0.5 debe ser repuesto por el original para poder instalar la RC1 de la versión 3.0.6; podeis leer todas las novedades que incluye esta nueva versión en el anuncio en el sitio oficial.

Información sobre phpBB 3.0.6 RC1 | Zona de Descargas |

Nueva actualización para WP que corrige una vulnerabilidad  detectada reciéntemente según el cual se podía resetear la contraseña del último usuario con un url especial.

Actualización muy recomendada. Y como siempre, el Dabo-how-to 😉

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga. Entrada en WP.org.

Saludos y buenas instalaciones/actualizaciones.

Hoy he visto el exploit en milw0rm y afecta a WordPress versión 2.8.3 y anteriores. No es que realmente sea algo peligroso para vuestros blogs, pero si muy molesto ya que es posible resetear la contraseña del primer usuario creado en WordPress según hemos podido comprobar.

El problema es que si el ataque se hace de una forma automatizada, te obligaría a estar continuamente mirando el correo para ver la nueva contraseña de dicho usuario lo cual como he comentado antes es muy molesto y siempre hay un peligro potencial en estos casos.

¿la solución? podemos encontrarla según me ha comentado Destroyer vía una información de arturogoga.com y como hemos visto funciona. Simplemente hasta que salga una nueva versión que corrija el bug, hay que cambiar la siguiente línea de código.

Buscar en wp-login.php, la línea 190 y cambiar

if ( empty( $key ) )

Por

if ( empty( $key ) || is_array( $key ) )

Después podéis comprobar que estáis a salvo del bug tipeando lo siguiente en vuestro navegador (que hace que se resetee el pasword)

http://nombrededominio.com/wp-login.php?action=rp&key[]=

****************************************************************
EDITADO:

Disponible Actualización versión 2.8.4

****************************************************************

Nueva actualización para WP que viene a corregir, definitivamente (o eso se espera), un fallo que ya había sido corregido en la versión 2.8.1. El fallo solucionado viene a corregir un problema de permisos en el panel de administración mediante el cual usuarios sin privilegios podían realizar algunos cambios no autorizados en el sitio (más info, en inglés).

Actualización muy recomendada. Y como siempre, el Dabo-how-to 😉

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga. Entrada en WP.org.

Saludos y buenas instalaciones/actualizaciones.

Nueva actualización para Joomla!, 1.5.14 de nombre Wojmamni Ama Naiki y que corrige algunos errores de la versión precedente y una actualización de seguridad de nivel bajo.
Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.
Descarga paquete completo 1.5.14.
Anuncio oficial con toda la información.

Nueva actualización para Joomla!, 1.5.13 de nombre Wojmamni Ama Baji y con 26 errores corregidos y dos actualizaciones de seguridad de nivel moderado y una de nivel bajo.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.

Descarga paquete completo 1.5.13.

Anuncio oficial con toda la información.

Nueva versión de WordPress que corrige una vulnerabilidad XSS que afectaba a las url’s de los comentaristas en el Panel de Admin (Tablero para los amigos) que hacía posible poder ser redirigido a un tercer sitio web.

Actualización muy recomendada. Y como siempre, el Dabo-how-to 😉

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero (en este momento no sale el aviso) pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

Como agua de Mayo (en pleno Julio) y recién salida del horno llega la actualización, la primera, de la última versión estable de WordPress corrigiendo un buen puñado de errores detectados, como aquel dice, según estaban pariendo al niño.

En lo particular hemos de decir que ninguno de los componentes del Team de Daboweb hemos tenido problemas con nuestros blogs personales y este en el que escribo, y que también corre sobre WordPress, tampoco ha habido ningún problema destacable.

En cuanto al mayor problema existente con algunos plugins y los permisos de usuario se ha corregido y se ha añadido un extra en seguridad sobre este tema como novedad, además destaca también la reducción del uso de memoria del Tablero y más cosas que puedes ver aquí.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y varias vulnerabilidades de seguridad críticas de riesgo moderado; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Desde la web de Drupal recomiendan instalar la nueva versión en lugar de utilizar el parche ya que estos no corrigen todos los bugs solucionados, solamente las vulnerabilidades críticas. Del mismo modo se informa de que esta nueva actualización no pisa los archivos .htaccess, robots.txt y settings.php (el que va por defecto) como venía siendo habitual en las últimas versiones/actualizaciones; aún así desde aquí recomendamos hacer copia de estos archivos, de la base de datos y de cualquier archivo importante por lo que pudiera pasar.

• Anuncio oficial.
• Descarga versión 6.13
• Descarga versión 5.19
• Parche versión 6.12
• Parche versión 5.18

Nueva actualización para Joomla!, 1.5.12 de nombre Wojmamni Ama Woi y con 25 errores corregidos y tres actualizaciones de seguridad de nivel moderado.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.

Descarga paquete completo 1.5.12.

Anuncio oficial con toda la información.

Uno de los quebraderos de cabeza de quien mantiene un sitio web puede ser la instalación de añadidos o «mods» en el CMS que utilizan. Se trata normalmente de módulos creados por terceros o por el mismo equipo que desarrolla el gesto de contenidos para implementar nuevas funcionalidades o mejoras.

En este caso, refiriéndonos al sistema de foros phpBB, acaban de liberar la versión 1.0.0-RC 2 (Release Candidate, versión no final) de AutoMOD, una herramienta para instalar módulos en phpBB de forma automatizada sin tener que editar nada manualmente por parte de quien los implementa. Ellos en buena lógica avisan que no se use en sitios web en producción, si para hacer pruebas localmente o por parte de quien esté desarrollando módulos para phpBB.

En la sección de descargas también hay traducciones para otros idiomas diferentes al inglés. Sólo recordar que en ocasiones, un módulo creado por terceros, puede que por una falta de actualización lleve a sufrir problemas de seguridad en vuestro CMS. Por este motivo, hay que estar al tanto del estado de desarrollo de los módulos que se usen al igual que se hace con el propio CMS.

Más información en el blog de phpBB | Sección de AutoMOD | Cambios nueva versión (ENG).