Daboweb | Seguridad y ayuda informática |

Se han reportado por parte de JPCERT/CC dos vulnerabilidades en el gestor de contenidos Movable Type. Dichos bugs son explotables remotamente y están considerados como de riesgo moderado para el CMS.

Concrétamente se trata de un desbordamiento del búfer y un salto de las restricciones de seguridad del software que podrían llevar a ataques Cross Site Scripting o desvelar información sensible del site. El hilo conductor de estos fallos viene dado por errores de validación de entrada en el script «mt-wizard.cgi».

Aún estando catalogados como de riesgo moderado, se recomienda actualizar Movable Type a la mayor brevedad posible, siendo las versiones afectadas las anteriores a la 4.26.

Sección de descarga de Movable Type | Fuente VUPEN Security.

Bajo el nombre del trompetista y vocalista Chet Baker, ha sido liberada para descarga, instalación y/o actualización la versión estable y, de momento, definitiva de WordPress, la 2.8

Como es costumbre por estos lares recordamos como actualizar el más popular de los CMS para su uso en blogs:

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos)

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

Nueva actualización para Joomla!, 1.5.11 de nombre Vea y con 26 errores corregidos y dos actualizaciónes de seguridad de nivel moderado y una de nivel bajo.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.

Descarga paquete completo 1.5.11.

Anuncio oficial con toda la información.

El equipo de desarrollo del sistema de foros phpBB acaba de anunciar la nueva versión «quite furry» etiquetada como la 3.0.5.

Anuncian la corrección de numerosos fallos desde la anterior 3.0.4, algunos de estilo, uno de seguridad y además de dotar al CMS de alguna nueva característica (no muy importante), se informa de un aumento del rendimiento y escalabilidad.

Hay mejoras el sistema de CAPTCHA (antispam), el el registro, búsquedas, una nueva opción de búsqueda en la cual el admin decide el número máximo de palabras permitidas para buscar, mejoras en el actualizador de la base de datos así como en MySQL, reproducción en Flash, etc. Desde phpBB se recomienda actualizar urgentemente.

Información sobre phpBB 3.0.5 | Zona de Descargas |

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y una vulnerabilidad de seguridad crítica de Cross site scripting; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Aparte de las copias de seguridad que hay que hacer siempre antes de actualizar un CMS hay que tener en cuenta que la actualización a las versiones 6.12 y 5.18 pisa los archivos .htaccess y robots.txt con lo cual hay que prestar especial atención a la hora de salvar estos archivos, especialmente si los hemos personalizado ya que perderíamos los cambios realizados.

• Anuncio oficial.
• Descarga versión 6.12
• Descarga versión 5.18
• Parche versión 6.11
• Parche versión 5.17

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y una vulnerabilidad de seguridad crítica de Cross site scripting; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Aparte de las copias de seguridad que hay que hacer siempre antes de actualizar un CMS hay que tener en cuenta que la actualización a las versiones 6.11 y 5.17 pisa los archivos .htaccess y robots.txt con lo cual hay que prestar especial atención a la hora de salvar estos archivos, especialmente si los hemos personalizado ya que perderíamos los cambios realizados.

• Anuncio oficial.
• Descarga versión 6.11
• Descarga versión 5.17
• Parche versión 6.10
• Parche versión 5.16

Nueva actualización para Joomla!, 1.5.10 de nombre Wohmamni y con 66 errores corregidos y una actualización de seguridad de nivel moderado.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.

Descarga paquete completo 1.5.10.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Nuevas versiones para el popular, y potente, gestor de contenidos (CMS), Drupal.

Estas nuevas versiones no incluyen ninguna novedad y han sido lanzadas con la única finalidad de corregir problemas de seguridad calificados como críticos.

La actualización es altamente recomendada y es necesario correr el archivo update.php después de hacerlo para refrescar la caché del menú y cualquier otro tipo de caché existente en el sistema; la actualización no afecta a los archivos .htaccess y robots.txt (cualquier actualización sobre estos tendría que ser posterior y a mano) ni a los archivos settings.php (por defecto).

Existe un parche para las versiones anteriores a esta nueva actualización, la 6.9 y la 5.15 (el parche no es válido para versiones anteriores a estas).

• Anuncio oficial.
• Descarga versión 6.10
• Descarga versión 5.16

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Según se puede leer en el blog de desarrollo de WordPress, (ENG) se acaba de liberar la versión 2.7.1 de este gestor de contenidos tan utilizado actualmente.

Se trata de una versión de mantenimiento y se han solventado 68 tickets pendientes abiertos en el trac (lugar de desarrollo) de WordPress.

También informan de que vía el menú “herramientas” “actualizar” se puede realizar el update o ,de otro modo, según el método tradicional descargando la nueva versión al completo.

Os recordamos que para actualizar sin sustos, puedes consultar nuestro tutorial.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Esta es una llamada de atención a aquellos que confían en un CMS tan potente y confiable como Joomla para gestión de sus contenidos en la red. Sin ir más lejos, en Daboweb lo hemos utilizado durante años con resultados más que satisfactorios.

Pero toda la estabilidad que da una versión revisada y actualizada del software, puede caer en saco roto si se usan versiones vulnerables de componentes, módulos o añadidos de terceros que no estén debidamente actualizados.

El hecho traer aquí este recordatorio, viene dado por la gran cantidad de noticias que me llegan desde diferentes listas de correo y fuentes RSS relacionadas con la seguridad, en las que no hay un día últimamente en el que no vea alguna vulnerabilidad (sobre todo inyección SQL) en varios de estos componentes.

Os recomendamos dar un vistazo a esta lista extraida de una búsqueda en Security Focus sobre dichas vulnerabilidades y veréis que no exagero dándole un vistazo a las fechas de publicación de los avisos y su contenido…

También os invitamos para cualquier consulta sobre este u otros CMS, a plantear el tema nuestro foro de Webmasters donde en la medida que nos sea posible, intentaremos ayudaros -;).

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Ojalá uno escribiese siempre sobre los CMS para celebrar cosas en lugar de para hablar de agujeros de seguridad y actualizaciones, pero al menos esta vez será así.

Antes de ayer, 15 de Enero, Drupal cumplió ocho años desde el lanzamiento de la versión 1.0.0; en la web se congratulan por tantos de años de trabajo y dan las gracias por todos los premios y reconocimientos recibidos a la vez que aprovechan para felicitar a la gran comunidad que les rodea.

Desde aquí, nuestra más sincera enhorabuena: ¡FELICIDADES!

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Recién salido del horno llega WordPress.tv, un videoblog del team de WordPress en el que pretenden recopilar videotutoriales y todo tipo de información relacionada con el popular CMS de gestión de blogs.

Videotutoriales de instalación, uso, entrevistas, etc … el sitio se divide en dos partes principales, el videoblog y el blog; este último no parece tener categorías así que es posible que solo publiquen noticias o anuncios sobre el sitio, por el contrario el videoblog se divide en dos categorías principales y luego en subcategorías.

La categoría WorldCampTV dividida en 6 subcategorías y la categoría How To dividida en otras 12 categorías, esta última es la más interesante ya que es donde están los tutoriales de uso del sitio, administración, publicación, etc..

Como todo tiene que pegar en esta vida y esto no iba a ser la excepción para mucha gente el idioma puede ser un problema, el sitio es en inglés, pero quien sabe si en un futuro no muy lejano harán lo mismo pero en español.
¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Nuevas versiones para el popular, y potente, gestor de contenidos (CMS), Drupal.

Estas nuevas versiones no incluyen ninguna novedad y han sido lanzadas con la única finalidad de corregir problemas de seguridad calificados como moderadamente críticos.

La actualización es altamente recomendada (vamos, porque no te pueden obligar a actualizar) y es necesario correr el archivo update.php después de hacerlo para refrescar la caché del menú y cualquier otro tipo de caché existente en el sistema; la actualización no afecta  a los archivos .htaccess y robots.txt (cualquier actualización sobre estos tendría que ser posterior y a mano).

Todas las versiones anteriores a las 6.8 y 5.14 (incluidas estas) se ven afectadas.

Existe un parche para las versiones anteriores a esta nueva actualización, la 6.8 y la 5.14 (el parche no es válido para versiones anteriores a estas).

• Anuncio oficial.
• Detalles de las vulnerabilidades.
• Descarga versión 6.9
• Descarga versión 5.15

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

La activa comunidad que mantiene y desarrolla el popular CMS Joomla! ha anunciado la disponibilidad de una nueva versión de su software.

Esta entrega de Joomla! se etiqueta con el número 1.5.9 y ha sido bautizada como «Vatani». Dicha release contiene según se puede leer en el post del lanzamiento 81 errores corregidos, entre ellos dos que afectan a la seguridad del CMS catalogados con prioridad alta y prioridad baja.

La solución pasa por instalar Joomla! 1.5.9 (página de descargas).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro.

Nos hacemos eco del anuncio oficial de phpBB.com (en Inglés) en el que avisan de que a partir del 1 de Enero de 2009, el soporte que se venía dando a las versiones 2.0.x de este sistema de foros quedará cancelado.

Se mantendrán durante unos meses y a modo de consulta en su sección de archivo las cuestiones antiguas planteadas sobre esta rama del CMS para borrarse pasado un tiempo.

Ya que no veremos nuevas actualizaciones de phpBB 2.0.x ni tampoco desde el sitio oficial se dará soporte, sus creadores recomiendan actualizar los foros a la rama 3.0.x para evitar problemas de uso y de seguridad de los foros que pueden ir surgiendo al quedar obsoletas las antiguas instalaciones de phpBB.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.