Daboweb | Seguridad y ayuda informática |

phpBB, el sistema de foros por excelencia, anuncia una actualización en la rama 3.0.x, (recordar que la 2.0.x está sin desarrollo y en Enero será retirada oficialmente) que solventa algunos errores corrige un par de fallos de seguridad e incorpora algunas novedades.

Este lanzamiento además coincide con el aniversario de la publicación de la versión 3, más conocida como Olympus, el pasado 13 de Diciembre del 2007.

Es importante actualizar a la nueva versión porque uno de los fallos de seguridad corregidos tienen que ver con las contraseñas.  Más información en el anuncio oficial en inglés.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Lo de Drupal es un no parar, después de las actualizaciones publicadas ayer nos llega hoy un nuevo anuncio con actualizaciones para ambas ramas de desarrollo, ahora las últimas versiones estables son las 6.8 y la 5.14

Por lo visto las versiones lanzadas ayer fueron poco más que un parche y por ese motivo han lanzado estas nuevas que esperemos solucionen el problema definitivamente y no tengan al personal constantemente actualizando el CMS.

Los parches publicados para las versiones 6.6 y 5.12 siguen teniendo validez.

• Anuncio oficial.
• Descarga versión 6.8
• Descarga versión 5.14

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Bajo el nombre de Coltrane, dedicado a John Coltrane, y poco tiempo después de que anunciaramos aquí mismo la RC2 (cierto que dimos la noticia con bastante retraso) ha sido liberada para descarga, instalación y/o actualización la versión estable y, de momento, definitiva de WordPress, la 2.7

Solamente recordar las recomendaciones dadas en los anuncios de las versiones candidatas 1 y 2 en cuanto a copias de seguridad, comprobación de temas y plugins, etc …

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y múltiples vulnerabilidades de seguridad críticas de Cross site scripting; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Aparte de las copias de seguridad que hay que hacer siempre antes de actualizar un CMS hay que tener en cuenta que la actualización a las versiones 6.7 y 5.13 pisa los archivos .htaccess y robots.txt con lo cual hay que prestar especial atención a la hora de salvar estos archivos, especialmente si los hemos personalizado ya que perderíamos los cambios realizados.

• Anuncio oficial.
• Descarga versión 6.7
• Descarga versión 5.13
• Parche versión 6.6
• Parche versión 5.12

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Si no me fallan las cuentas hoy era el día en que debía salir a la luz la nueva versión de WordPress, la 2.7, pero en su lugar han lanzado una nueva versión candidata, la RC2.

Esto son buenas y malas noticias, buenas porque se supone que la versión estable al final será incluso más estable y malas porque los impacientes ya estarán comiéndose las uñas a la altura del codo 😉

Este es un buen momento para comprobar la compatibilidad de nuestro actual blog con la nueva versión, es algo que se me olvidó comentar en el lanzamiento de la RC1. Cuando actualizamos la versión X.X de WordPress no es tan sencillo como actualizar los archivos, hay que comprobar la compatibilidad del tema con la nueva versión y también de los plugins instalados.

Quizás por necesidad o comodidad necesitemos esperar a que se actualicen estas cosas antes de cambiar la versión o en el peor de los casos adaptar el tema o cambiarlo por uno compatible; del mismo modo nos podríamos ver obligados  a prescindir de algún plugin temporalmente o para siempre. Es algo que actualizando versiones X.X.x no suele suceder (aunque todo es posible).

Para comprobar las compatibilidades:

– Compatibilidad de Temas.

– Compatibilidad de Plugins.

Los que estén probando la RC1 pueden aprovechar para probar el upgrade desde el panel de admin: Tools – Upgrade (en español debería estar en Opciones – Upgrade o Actualizar).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Se ha reportado desde la página de PHP un fallo se seguridad en la reciente versión 5.2.7 (del 4 de Diciembre) que afecta al uso de magic_quotes_gpc, los sitios que estén usándolo deberán modificar el archivo php.ini para poner el valor en OFF.

En PHP han eliminado de distribución la versión afectada y lanzado una nueva que soluciona este problema, la 5.2.8, es totalmente recomendable actualizar a esta última o volver a la anterior 5.2.6.

El fallo también ha sido anunciado en los foros de phpBB ya que afecta a los foros de la rama 2.0.x y recomiendan, igualmente, actualizar urgentemente.

Otros CMS que corran sobre PHP podrían verse afectados aunque de momento no hay noticias de que así sea. Estaremos al tanto 😉

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Está ya disponible para descarga, instalación y usos varios la primera Release Candidate de WordPress. Una Release Canditate es una versión candidata a versión final, esto quiere decir que si no se encuentran fallos en la misma ésta versión será la definitiva y pasará a denominarse directamente WordPress 2.7, como versión final.

Las versiones candidatas, generalmente, son versiones estables y funcionales, aunque como digo no son versiones finales así que usándolas corremos el riesgo de que presenten una vulnerabilidad grave o un agujero crítico de seguridad y tener que comérnoslo esperando la versión final o un parche temporal.

Pero siempre podemos descargala e instalarla de forma local para probarla y ver las novedades que incluye e irle cogiendo el pulso para cuando salga la versión final. Entre las novedades de esta RC1 se encuentra el nuevo pack de iconos para el menú de administración y otros casi 300 fallos solucionados con respecto a la Beta 3.

Si no podemos esperar a la versión final y queremos instalar ya la RC1 en nuestro servidor lo primero que hay que hacer es una copia de seguridad de la base de datos y de los archivos importantes (por lo que pudiera pasar).

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos)

Anuncio oficial. Enlace directo a la descarga.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Se ha lanzado una actualización de seguridad de WordPress debibo a un fallo XSS detectado por Jeremias Reith, dicho fallo afecta a las IP’s sobre servidores virtuales en Apache 2.x, aparte de este fallo de seguridad la nueva versión corrige algunos otros fallos menores.

La última versión estable, en funcionamiento hasta ahora, es (era) la 2.6.3, desde el blog oficial anuncian el salto obviando la 2.6.4 para evitar confusiones con la versión falsa que fué anunciada hace poco menos de 20 días.

Nunca habrá una versión 2.6.4, solo queda esperar a la próxima 2.7 que se está haciendo de rogar más de lo esperado.

En cuanto la versión 2.6.5 si solo estamos interesados en solucionar el fallo XSS bastará con sustituir los archivos feed.php y version.php en wp-includes/feed.php y wp-includes/version.php respectivamente.

Anuncio oficial, descarga nueva versión.

Tutorial para actualizar WordPress

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Esta entrada también podría titularse «Google Analytics, úsalo con moderación», pero simplemente quería dejar constancia de los riesgos que pueden venir de scripts aparentemente tan inofensivos como un sistema de medición de tráfico como este de Google.

El protagonista de esta historia es Barack Obama, unas malas prácticas (errores de novatos más bien) por parte de quienes le prepararon el gestor de contenidos que usó en la campaña electoral con el título «http://change.gov«, algo que también es aplicable a «http://my.barackobama.com», pueden dejar como se dice coloquialmente con «el culo al aire», hablando de su presencia en Internet, al flamante futuro presidente de los E.E.U.U.

Uno de los grandes errores puede ser dejar el acceso a la parte administrativa visible del CMS a todo el mundo, ni siquiera un .htaccess que requiera una autentificación para acceder ,pero tampoco un filtrado de IPs o conexión bajo SSL ¿?

A todo esto le podemos sumar algo que está suscitando un interesante debate sobre el acceso a la información por parte de Google de múltiples formas, en este caso (ojo al dato) Google Analytics tiene acceso a las páginas administrativas de los dos sitios web !¡.

Además de los ataques clásicos que se pueden dirigir contra los paneles de administración, se está incidiendo en el peligro que puede conllevar que el fichero escrito en Javascript llamado «urchin.js» (necesario para que funcione Google Analytics) pueda ser controlado por algún atacante, algo que junto a las últimas vulnerabilidades en DNS y una ensalada de cookies aderezadas con secuestros de sesiones vía el navegador web, etc, etc el plato podría provocar una cierta indigestión -;).

Aunque sobre este punto soy un tanto escéptico, ya que se si se tiene acceso a urchin.js, entiendo que no hará falta mucha ensalada, más bien se podría degustar un plato de los fuertes. De todos modos comprendo la preocupación o el debate que suscita este potencial riesgo para la seguridad.

Sirva esto simplemente como una llamada de atención sobre aspectos que en ocasiones no tenemos en cuenta y pueden darnos algún indeseable susto «web 2.0»

Fuente; theregister.co.uk (en Inglés).

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Hoy la noticia volvemos a ser nosotros, el amigo Kids de blogoff un clásico ya en Internet, en su Podcast semanal ha entrevistado a Dabo.

Dabo, aunque parezca un lanzado luego, cuando se trata de hablar de él mismo, es un timorato y eso de las entrevistas en plan «estrella holiwudense» le ponen de los nervios, eso a pesar de que normalmente se desenvuelve bien en la vida y hasta podríamos decir aquello de que puede llegar a ser un «encantador de serpientes»

En la entrevista, dabo ha rememorado los orígenes de daboweb, ¡qué tiempos aquellos! y ha ido recordando las diversas etapas y cambios que han ido sucediendo. También da su opinión sobre diversos temas, como puedan ser la eterna lucha entre usuarios de software propietario y software libre, los tipos de hostings, etc.

En resumen, el dabo verdadero, el que escuchamos cada día en las interminables charlas hasta las tantas de la noche por el skype, hoy se ha asomado a las ondas y ha quedado inmortalizado.

Os recomiendo no os perdáis la entrevista, yo por supuesto la tengo guardada, quien sabe si mañana dabo llegará a convertirse en una celebridad y entonces puede que esta grabación llegue a considerarse un documento sonoro impagable.

Acceso a > la entrevista de Kids con Dabo

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Esta parece la semana de los CMS o sistema de gestión de contenidos, (del inglés «Content Management System»), lo explico porque muchas veces abusamos de los acrónimos y no está mal explicarlo alguna vez.

Hoy le toca al sistema de foros phpBB y su versión 3.0.3 anunciada por Acyd Burn que viene con un número de bugs y problemas de estabilidad solventados más que importante, os conviene darle un vistazo a la lista de cambios.

Desde phpBB recomiendan actualizar urgentemente los foros ya que alguno de los fallos solucionados es un tanto crítico «Please note that we urge you to update». Aclaro este punto ya que de otro modo, se podría pensar que el título del post pretende ser un «titular», con ver la lista de cambios uno puede comprobar que la cosa va en serio -;).

Acceso a la sección de descargas de phpBB

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

La activa comunidad que mantiene y desarrolla el popular CMS Joomla! ha anunciado la disponibilidad de una nueva versión de su software.

Esta entrega de Joomla! se etiqueta con el número 1.5.8 y ha sido bautizada como «Wohnaiki». Dicha release contiene según se puede leer en el post del lanzamiento 71 bugs corregidos, entre ellos dos que afectan a la seguridad del CMS catalogados como de un nivel «moderado», concrétamente los siguientes;

Vulnerabilidad XSS en «com_content»

* SubProject: com_content
* Severity:moderate
* Versions: 1.5.7 and all previous 1.5 releases
* Exploit type: XSS
* Reported Date: 2008-October-03
* Fixed Date: 2008-November-10

Vulnerabilidad XSS en «com_weblinks»

* SubProject: com_weblinks
* Severity:moderate
* Versions: 1.5.7 and all previous 1.5 releases
* Exploit type: XSS
* Reported Date: 2008-November-9
* Fixed Date: 2008-November-10

Como anuncian en la información que os he puesto arriba, estos fallos se dan en Joomla! 1.5.7 y todas las releases anteriores de la rama 1.5.x por lo que es más que recomendable actualizar lo antes posible el CMS.

La solución pasa por instalar Joomla! 1.5.8 (página de descargas).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro.

Desde Simple Machines anuncian la versión 1.1.7 de SMF foros, también aclaran que es una actualización de seguridad y que es altamente recomendable pasar a esta nueva entrega ya que solventa varios fallos de importancia encontrados en SMF 1.1.6 y anteriores.

Si estáis usando la versión 1.1.6, os será suficiente con la opción «Smal update» que podéis ver en la sección «Descargas», en el caso de vuestro foro contenga modificaciones o «mods» o uséis una versión anterior, hay que optar por la opción «Large upgrade».

Desde el panel de admin se ofrece una actualización automática que a simple vista y escribiendo vuestros datos FTP y dando permisos de escritura a ciertos directorios, lo hace el propio foro pero a mi no me convence ni lo uno, ni lo otro.

Por mi experiencia de años usando y actualizando SMF en los foros de Daboweb así como en Caborian, os diré que la forma más segura de hacerlo y la que menos problemas caso de que falle os dará, es hacerlo de un modo manual con un control completo del update.

Os resumo más o menos los pasos que sigo para hacerlo caso de que tengáis acceso vía SSH al servidor y estéis familiarizados con una línea de comandos GNU/Linux, pero esta info es válida también si accedéis vía FTP o desde un panel tipo Plesk, Cpanel, etc, la parte de hacer un backup de la base de datos MySQL con phpMyAdmin también la podéis hacer sin problemas.

Tutorial para actualizar foros SMF (sin sustos-;).

1– Ponéis el foro en mantenimiento y el idioma en Inglés (si no, os dará fallo).

Continue reading…

Se ha reportado reciéntemente un aviso de un sitio que ofrece una descarga vulnerable de WordPress, uno de los CMS más extendidos y usados para la creación de blogs.

El sitio en cuestión se llama Wordpresz.org y aunque actualmente no funciona podría haber infectado a bastantes sitios a través de un falso anuncio de una nueva versión estable inexistente.

Wordpresz.org ofrece (ofrecía) la descarga de la versión estable 2.6.4 cuando la última versión estable oficial es la 2.6.3, pero en realidad el código descargado correspondía a una versión antigua y vulnerable (la 2.5.1) e incluía en el código del CMS un troyano que infectaba a los visitantes de los blogs que tenían (tienen) cinco o más usuarios registrados. Continue reading…

Acaba de ser liberada la versión estable del popular gestor de contenidos WordPress 2.6.2 con varias mejoras implantadas en su código respecto a las anteriores y es más que recomendable su instalación, máxime si no habéis migrado de la 2.6.0 a la 2.6.1 que si bien no era obligatorio , si aconsejable.

Actualización a la 1,30 h.

Se puede leer en las notas de esta nueva versión que urge actualizar si tenéis abierto el registro de usuarios en el blog, hay un bug para la versión 2.6.1 y anteriores reportado por Stefan Esser que afecta a MySQL y mt_rand() que puede hacer posible por un ataque (nada fácil de ejecutar según informan) resetear la contraseña de un usuario registrado anteriormente a otra generada aleatoriamente.

Os recomendamos leer nuestro manual para actualizar WordPress para evitar problemas a la hora de cambiar de versión.

Descarga de WordPress 2.6.2