Daboweb | Seguridad y ayuda informática |

La vulnerabilidad y el exploit han sido reportados desde http://0verl0ad.blogspot.com/ (con créditos hacia http://xd-blog.com.ar y portalhacker.net) afecta al sistema de foros SMF 2.0. El asunto es serio, ya que puede desde afectar a usuarios con privilegios administrativos, así como al staff de moderación.

Destacar el gran trabajo que se ha hecho, publicando además del exploit, la solución para paliarlo, junto a una explicación acerca de cómo funciona el robo de «Tokens» y cómo se explota una vulnerabilidad de este tipo.

La solución;

Comenta o elimina las lineas 104 y 105 de /Sources/Subs-Menu.php, esto palía el problema y todo sigue funcionando:

Código;(Líneas 104 y 105).

/////////////////////////////////////////////////////
if (empty($menuOptions[‘disable_url_session_check’]))
$menu_context[‘extra_parameters’] .= ‘;’ . $context[‘session_var’] . ‘=’ . $context[‘session_id’];
/////////////////////////////////////////////////////

Más información y fuente, en exploits-db.

El equipo de desarrollo de Coppermine acaba de publicar una actualización de su sistema de galerías (versión 1.5.14) que viene a solventar una serie de arrores de impacto catalogado como «menor» para el CMS.

A su vez, informan de que si se está usando una versión 1.5.12, la actualización no sería necesaria (aunque recomendable en todo caso), pero si la versión es anterior a la 1.5.12, entonces sí sería de urgencia el upgrade por el impacto de cara a la seguridad que conlleva.

La info original y todas las mejoras. Link a la descarga. Tutorial actualización Coppermine.

El equipo de desarrollo de Drupal acaba de anunciar la disponibilidad de Drupal 7.7, otra entrega del CMS que no trae nuevas funcionalidades, pero que solventa varios problemas de seguridad localizados en Drupal. En esta nueva versión hay un salto de versiones desde la 7.4 ya que sobre la 7.5 (la actualización de seguridad) se han lanzado dos nuevas actualizaciones que solventan algunos bugs, la lista completa de corrección de errores se puede leer sobre las notas de la versión 7.6

Por ello, es más que recomendable su inmediata actualización, para más información sobre este lanzamiento puedes consultar el anuncio de esta «release». Descarga de Drupal 7.7. (tar.gz).

Esta madrugada el equipo de phpBB ha puesto a disposición de los usuarios la versión 3.0.9 del sistema de foros phpBB. Esta nueva entrega viene a corregir varios bugs reportados además de agregar nuevas características.

Entre las más destacadas, están los dos nuevos motores de almacenamiento en caché, al estilo SMF 2.0,  (WinCache para servidores Windows y Redis backend). También se ha implementado un control de intentos de inicio de sesión que ahora puede ser limitado por IP para combatir los robots spammers, hay correcciones en el campo nombre de usuario y contraseña, etc. Anuncio original del lanzamiento.

No obstante, el mejor soporte hablando de foros phpBB lo podréis encontrar en la comunidad amiga phpbb-es.com.

El equipo de desarrollo de Drupal acaba de anunciar la disponibilidad de Drupal 7.4, otra entrega del CMS que no trae nuevas funcionalidades, pero que solventa varios problemas de seguridad localizados en Drupal.

Por ello, es más que recomendable su inmediata actualización, para más información sobre este lanzamiento puedes consultar el anuncio de esta «release». Descarga de Drupal 7.4. (tar.gz).

Desde el blog de desarrollo de WordPress nos llega el aviso de esta actualización de seguridad disponible desde vuestros tableros de admin.

Esta entrega de WP corrige un problema serio que podría permitir a un malintencionado usuario con permisos de Editor ganar mayores privilegios sobre el blog afectado.

También agradecen a Gudinavicius de SEC Consult por su atención prestada e informan de que esta Version 3.1.4 incorpora otras mejoras de seguridad además de medidas de protección adicionales gracias al trabajo de los desarrolladores de WordPress  Alexander Concha y Jon Cave además del equipo de seguridad de WP.

Para conocer todos los detalles y cambios de esta versión ve al «change log» (ENG)

Además, se ha liberado la versión 3.2 Release Candidate 3 (descarga directa y versión para desarrolladores, no para blogs «en producción»)

Método para actualizar;

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Desde el blog de WordPress han anunciado la disponibilidad de la primera «Release Candidate» de la futura versión estable etiquetada como «3.2». Dándole un vistazo al «trac» podéis comprobar el gran trabajo de toda la comunidad que trabaja en torno a este popular CMS (Gestor de contenidos) con más de 350 tickets (mejoras y bugs de diversa índole) solventados.

Aunque lo decimos en el título, no está de más avisar de que se trata de una versión de desarrollo, no para blogs en producción y aún hay muchos plugins sin soporte. Os recordamos que el pasado día 26 de Mayo anunciamos el lanzamiento de la versión 3.1.3 (estable) de WordPress catalogada como «Actualización de seguridad».

Todas las novedades en Ayuda WordPress.

Entrada breve a título informativo para comentaros que los blogs de dos personas muy conocidas y en la órbita de Daboweb como son «Seguridad y Redes» (de Alfon) y el «Nauscópio» (de Maty), han migrado de la plataforma de blogs Nireblog a WordPress.com.

La explicación llega de la mano de Loretahur, «Nireblog cierra sus puertas« habiendo estado sus puertas abiertas desde el año 2006. El proceso de migración que se está llevando a cabo es muy transparente, lo cual es de agradecer para todos los alojados en Nireblog.

Nuevas URL y Feeds;

Nauscópio | RSS

Seguridad y Redes | RSS.

No olvidéis cambiar los enlaces a las nuevas direcciones si tal como es nuestro caso, les tenéis enlazados. Suerte a todos en vuestra nueva plataforma y un saludo a toda la gente de Nireblog que han venido realizando un gran trabajo desde su comienzo -;).

Han sido liberadas cuatro actualizaciones nuevas de las dos ramas de desarrollo de Drupal. Las versiones 7.1 y 6.21 solo solucionan los problemas de seguridad mientras que las versiones 7.2 y 6.22 incluyen además corrección de errores.

No se entiende muy bien por qué lanzar dos versiones diferenciadas en el mismo momento cuando tanto una cosa, corregir problemas de seguridad, y la otra, corrección de errores, deben ir unidas de la mano en busca de un correcto funcionamiento de los sitios.

El archivo .htaccess ha cambiado en la versión 7.2, es importante tener una copia del que tengamos actualmente con las modificaciones que hayamos hecho. settings.php y el robots.txt no se modifican en esta actualización aunque es conveniente también tener una copia, como del resto de archivos.

En la versión 6.22 el que cambia es el robots.txt, así que cuidado a la hora de actualizar.

• Anuncio oficial.
• Descarga versión 7.2
• Descarga versión 6.22

El equipo de WordPress acaba de liberar una actualización de seguridad (versión 3.1.2) que viene a resolver una vulnerabilidad que podría permitir a usuarios con permisos limitados la publicación de  mensajes sin autorización.

Es por ello que caso de tener habilitado el registro de usuarios, la actualización sea de suma importancia. Además, se solventan algunos fallos localizados a partir de la versión 3.1.1. Más info.

Reseñamos en esta entrada un artículo de nuestro compañero Shicefgo en el que veremos como instalar Drupal 7.0 en español y como solucionar el mensaje de error «no puede guardar archivos en sites/default/files/tmp.»

Lo básico no tiene ningún misterio: Preparas tu base de datos MySQL, anotas el nombre del usuario y la contraseña, descomprimes el paquete de Drupal 7, que puedes descargar de aquí, lo subes y entras a tu sitio por la url para empezar la instalación. Sobre lo básico hay mucha información en la Red.

Pero pueden surgir un par de problemillas que desde aquí vamos a tratar de ayudarte a solucionar y que son el motivo principal de esta entrada: uno es configurarlo para el idioma español y el otro un mensaje de error que puede dar una vez instalado, diciendo que no puede guardar unos archivos en sites/default/files/tmp.

Instalando en español

Una vez que hayas subido el core y antes de empezar la instalación propiamente dicha, tienes que descargar el archivo de la traducción de aquí (al menos a la fecha en que escribo esto). Pincha en el “Download” que hay a continuación del “Drupal core 7.0″ y en la misma línea. Súbelo a la carpeta profiles/standard/translations y ya está todo listo para que te presente la opción de instalar en español.

Hay que tener presente que, cuando la instalación llegue a “Configurar traducciones” puede que se quede ahí “pillada”. En local no me lo ha hecho, pero en remoto sí. Si se queda, pues nada, a prepararse tranquilamente una infusión dándole su tiempo, y después recargar la página e ir al enlace de la página de error. A mí me funcionó, así que lo mismo a tí también. El motivo de este “parón” parece ser algo relacionado con la tecnología AJAX.

El mensaje de error relativo a tmp

Esto puede ocurrir porque drupal 7 necesita no sólo acceso total a las carpetas sites/default/files y sites/default/files/tmp, sino que el propietario y el grupo de las mismas sean los “del dueño del sitio y su grupo”, o como un ejemplo vale más que mil palabras, el mismo usuario y grupo que tenga el archivo sites/default/default.settings.php. Como yo tengo acceso root al servidor, pues cambio lo que me da la gana como quiero sin problemas, pero una posible solución para quienes no son tan pringados afortunados puede ser la que sugiero a continuación. De todas formas, ten presente que el objetivo es conseguir que sites/default/files y sites/default/files/tmp tengan permisos 777 (totales) y pertenezcan al usuario y al grupo que dijimos.

La solución  sugerida es entrar por ftp a nuestro sitio y crear estas carpetas antes de que las cree el propio Drupal (es decir, antes de ir a nuestra url para empezar la instalación), con lo que ya pertenecerán directamente al usuario y grupo adecuados. No nos olvidemos de darles los permisos.

Luego copiamos el archivo sites/default/default.settings.php con el nombre sites/default/settings.php y le damos permisos 666 para la instalación (más tarde habrá que reponer los permisos de ese archivo a 644, cosa de la que nos avisará el propio drupal).

Resumen de comandos a utilizar una vez que hemos subido todos los archivos de Drupal 7  y antes de ir a nuestra url (suponemos que ya estamos dentro de la carpeta raíz de nuestra instalación):

cd sites/default
cp default.settings.php settings.php
chmod 666 settings.php
mkdir -p files/tmp
chmod 777 files
chmod 777 files/tmp

Ahora entramos a nuestra url, realizamos la instalación y cuando haya terminado:

chmod 644 settings.php

Y esto es todo, rapidito y práctico, para no entretener demasiado al personal.

Artículo original.

Nueva actualización, de seguridad, disponible para el CMS Joomla!

Se ha corregido un problema de seguridad catalogado de prioridad baja que afecta a todas las versiones de Joomla! anteriores a la 1.5.22, incluida ésta última.

También se han corregido un buen número de errores.

Se recomienda actualizar a la mayor brevedad.

Anuncio oficial. Descarga completa. Actualización.

Publicada una nueva actualización del gestor de contenidos Joomla!, la versión 1.6.1 viene a corregir 210 problemas del sistema de subversiones y 12 cuestiones de seguridad, 10 de ellas catalogadas como de prioridad moderada y las dos restantes de prioridad baja.

Es importante actualizar ya que son muchas las correciones de esta nueva actualización.

Esta vez, a diferencia del lanzamiento de la versión 1.6, no hay queja sobre la información, en el propio anuncio oficial está la información necesaria con los enlaces correspondientes sobre las vulnerabilidades corregidas y los tickets cerrados.

Anuncio oficial. Descarga completa. Actualización.

Ha sido lanzada una nueva actualización del sistema de foros SMF, esta nueva versión fué lanzada hace varios días (concretamente el 11 de Febrero) pero por diferentes motivos ha sido imposible la publicación de una forma más inmediata.

Es una actualización de seguridad aunque el changelog no muestra gran cosa en cuanto a información (tampoco entiendo por qué hay que descargarlo), viene además acompañada de un parche para versiones 2.0 RC4 y una nueva RC, la 2.0 RC5

Tutorial para actualizar foros SMF (by Dabo).

1– Ponéis el foro en mantenimiento y el idioma en Inglés (si no, os dará fallo).

2- Hago una copia exacta del foro actual por si necesito algo después (si habéis modificado el tema “default” os instala siempre una nueva versión y con ello plancha lo que hayáis personalizado o las imágenes añadidas por vosotros)

cp -prfv foro_actual foro_copia

3- Hago una copia de la base de datos por si cuando una vez actualizado el foro, al ejecutar el “upgrade.php” que toca la base de datos hay algún error.

mysqldump –opt -Q -u (nombre_usuario_mysql) -p base_datos > base_datos.sql (os pedirá el password y hará el volcado o “dump”)

4- Una vez descargado el fichero de actualización, lo coloco en la ráiz del foro y descomprimo el .zip o .tar.gz. De este modo se sobreescriben todos los ficheros antiguos por los nuevos. (Es lo mismo que descomprimir localmente en vuestro ordenador el archivo que os bajéis y subirlo al foro sustituyendo unos por otros para quienes lo hagáis vía FTP)

unzip smf_1-1-7_update.zip o tar -xvzf smf_1-1-7_update.tgz según el fichero de actualización descargado (.zip o .tar.gz)

Escribís “A” (opción All, todos) cuando os pregunte sobre los ficheros a sobreescribir.

5- Ahora ya está el foro actualizado, queda ejecutar www.vuestro_dominio_foro/upgrade.php desde el navegador para que haga los cambios en la base de datos, pero tenéis que dar permisos de escritura a Settings.php y Setting_bak.php para que funcione chmod 777 Settings.php Settings_bak.php. (Podéis hacerlo también desde vuestro programa FTP). Sed pacientes porque puede llevar tiempo el upgrade y para no cargar el server, SMF hace pausas en esta operación.

6 – Borráis el fichero upgrade.php (ya os sale un aviso arriba de que es un riesgo para la seguridad), ponéis de nuevo el foro en idioma español y quitáis la opción “en mantenimiento”. También recordad cambiar los permisos a Settings.php y Settings_bak.php con un chmod 644.

Como consejo final, os recomiendo vaciar la caché de vuestro navegador por si ha pasado algo con la plantilla usada y también hacer un “repair” y “optimize” a la base de datos;

mysqlcheck -r -u (nombre_usuario_mySQL) -p base_datos (os pide el password y hará la reparación)

mysqlcheck -o -u (nombre_usuario_mySQL) -p base_datos (os pide el password y hará la optimización)

Pero también podéis hacerlo vía el panel de admin del foro en la zona inferior “mantenimiento del foro”, (Buscar errores y reparar y optimizar las tablas de la base de datos).

Si tenéis alguna duda con este tutorial, por favor, planteadla en nuestro foro de Webmasters.

Página de descarga. Anuncio oficial.

Esta entrada es solo un recordatorio sobre lo que comentábamos hace tiempo sobre el fín del soporte oficial de Drupal a la rama 5 de desarrollo del popular CMS. 3 años y dos semanas después del lanzamiento de esta versión se va a dejar de dar soporte con todo lo que ellos incluye.

Desde el propio sitio recomiendan actualizar a la versión 6 ya que la 7 es demasiado joven y podría no hacer la migración correctamente; también informan de que si pretendes continuar con tu versión 5 hay un grupo que pretende dar soporte a esta versión como si fuese una LTS (por la noticia en sí parece que se jactan de que este grupo no tenga demasiado éxito).

Nota en Drupal.