Daboweb | Seguridad y ayuda informática |

Uno de los quebraderos de cabeza de quien mantiene un sitio web puede ser la instalación de añadidos o «mods» en el CMS que utilizan. Se trata normalmente de módulos creados por terceros o por el mismo equipo que desarrolla el gesto de contenidos para implementar nuevas funcionalidades o mejoras.

En este caso, refiriéndonos al sistema de foros phpBB, acaban de liberar la versión 1.0.0-RC 2 (Release Candidate, versión no final) de AutoMOD, una herramienta para instalar módulos en phpBB de forma automatizada sin tener que editar nada manualmente por parte de quien los implementa. Ellos en buena lógica avisan que no se use en sitios web en producción, si para hacer pruebas localmente o por parte de quien esté desarrollando módulos para phpBB.

En la sección de descargas también hay traducciones para otros idiomas diferentes al inglés. Sólo recordar que en ocasiones, un módulo creado por terceros, puede que por una falta de actualización lleve a sufrir problemas de seguridad en vuestro CMS. Por este motivo, hay que estar al tanto del estado de desarrollo de los módulos que se usen al igual que se hace con el propio CMS.

Más información en el blog de phpBB | Sección de AutoMOD | Cambios nueva versión (ENG).

Nueva actualización para Joomla!, 1.5.11 de nombre Vea y con 26 errores corregidos y dos actualizaciónes de seguridad de nivel moderado y una de nivel bajo.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.

Descarga paquete completo 1.5.11.

Anuncio oficial con toda la información.

El equipo de desarrollo del sistema de foros phpBB acaba de anunciar la nueva versión «quite furry» etiquetada como la 3.0.5.

Anuncian la corrección de numerosos fallos desde la anterior 3.0.4, algunos de estilo, uno de seguridad y además de dotar al CMS de alguna nueva característica (no muy importante), se informa de un aumento del rendimiento y escalabilidad.

Hay mejoras el sistema de CAPTCHA (antispam), el el registro, búsquedas, una nueva opción de búsqueda en la cual el admin decide el número máximo de palabras permitidas para buscar, mejoras en el actualizador de la base de datos así como en MySQL, reproducción en Flash, etc. Desde phpBB se recomienda actualizar urgentemente.

Información sobre phpBB 3.0.5 | Zona de Descargas |

El popular gestor de foros ha lanzado una nueva actualización, la 1.1.9., que viene a solventar algunos vulnerabilidades encontradas en la versión anterior. Se recomienda actualizar lo antes posible a esta nueva versión.

Además, en el tema del anuncio, informan de que han lanzado una nueva versión de la rama de desarrollo 2, la 2.0 RC1-1 y que se puede actualizar igualmente a esta nueva versión, eso sí recordar que es una versión no estable y que no es recomendable ponerla en producción.

Los usuarios de la versión 1.0.x deben actualizar a la versión 1.0.17. Se puede actualizar a través del panel de administración o vía FTP, esta nueva versión podría dar problemas actualizando desde el panel y entonces sí o sí habría que hacerlo manualmente. Os copio una pequeña guía escrita por Dabo para actualizar sin problemas:

Tutorial para actualizar foros SMF (by Dabo).

1– Ponéis el foro en mantenimiento y el idioma en Inglés (si no, os dará fallo).

Continue reading…

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y una vulnerabilidad de seguridad crítica de Cross site scripting; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Aparte de las copias de seguridad que hay que hacer siempre antes de actualizar un CMS hay que tener en cuenta que la actualización a las versiones 6.12 y 5.18 pisa los archivos .htaccess y robots.txt con lo cual hay que prestar especial atención a la hora de salvar estos archivos, especialmente si los hemos personalizado ya que perderíamos los cambios realizados.

• Anuncio oficial.
• Descarga versión 6.12
• Descarga versión 5.18
• Parche versión 6.11
• Parche versión 5.17

Desde hace varios días cantidad de foros que usan SMF como gestor de contenidos están sufriendo ataques y siendo infectados  mediante una inyección de código php a través de la carpeta de avatares de los usuarios.

El usuario malicioso, mal llamado hacker, usa comunmente el nick Krisbarteo, aunque podría usar otros como Boommurne o alguno de los de esta lista.

Lo que hace, básicamente, es subir un avatar en formato .jpg que contiene un código php que crea en el servidor tres archivos (style.css.php, s.php y dg.php) para luego añadir a todos los archivos php del servidor un código codificado en base64; no se sabe el alcance real del ataque pero se presupone que en principio sea usado para hacer spam.

¿Cómo sé si estoy infectado?

La desaparición de avatares en el foro es el síntoma más claro, también se puede revisar el log de errores del foro y buscar el siguiente mensaje: 8: Undefined index: dhhag.

¿Cómo me desinfecto?

La reinstalación de una copia de seguridad completa es el proceso más rápido y efectivo, por eso nunca nos cansaremos de recordar la importancia de tener copias de seguridad periódicas y en buen estado.

Para la opción larga y tediosa dejo un enlace abajo.

No estoy infectado, ¿cómo evito que me suceda?

Desde el panel de admnistración del foro vamos a Archivos adjuntos y avatares, Configuración de avatares y escogemos la opción Negar para la subida de avatares a los usuarios nuevos; recordar que se pueden crear grupos de usuarios por mensajes y que esta opción es precisamente útil para casos como este. Cerrar el registro u obligar a la activación por parte de un administrador es otra opción, bastante más radical e innecesaria.

Vía: Nimiedad (con explicación para desinfección paso a paso).

Discusión en foros SMF (Inglés).

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y una vulnerabilidad de seguridad crítica de Cross site scripting; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Aparte de las copias de seguridad que hay que hacer siempre antes de actualizar un CMS hay que tener en cuenta que la actualización a las versiones 6.11 y 5.17 pisa los archivos .htaccess y robots.txt con lo cual hay que prestar especial atención a la hora de salvar estos archivos, especialmente si los hemos personalizado ya que perderíamos los cambios realizados.

• Anuncio oficial.
• Descarga versión 6.11
• Descarga versión 5.17
• Parche versión 6.10
• Parche versión 5.16

Nueva actualización para Joomla!, 1.5.10 de nombre Wohmamni y con 66 errores corregidos y una actualización de seguridad de nivel moderado.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.

Descarga paquete completo 1.5.10.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Como muchos sabéis, esta comunidad desde su primer día de vida ha estado alojada con Interdominios y a lo largo de estos años nos han apoyado hasta el punto de que hoy en día, nuestro servidor está patrocinado por ellos.

Desde Daboweb queremos desearles mucha suerte en esta nueva andadura y lógicamente si a nosotros nos va bien con ellos, no dudamos en recomendarte sus servicios -;).

A continuación, reproducimos la nota de prensa que nos ha llegado sobre la apuesta de Interdominios por los servidores virtuales VPS X-SERVE bajo Mac OS X Leopard con grandes funcionalidades para usuarios de Mac como podéis ver en este apartado.

Lanzamiento de VPS X-SERVE;

Interdominios lanza el primer VPS X-SERVE virtualizado de Mac, convirtiéndose en el primer ISP Español en ofrecer este servicio, siendo la primera compañía de hosting que apuesta por lanzar al mercado la versión definitiva de los Xserve-virtuales por solo 199 €/Mes.

La tecnología Parallels ha hecho posible la creación de un contenedor aislado con una cantidad definida de recursos lo cual permitirá la división del servidor Xserve cuya tecnología mejorada cuenta con procesadores de 64bits, soportando hasta 32GB  de RAM aumentando el rendimiento hasta en un 60% más.

Además, funcionan sobre el sistema operativo OS X Leopard e incluyen la consola remota de Parallels para reiniciar, encender o apagar el servidor, pulsando tan solo un botón y desde cualquier lugar. Esto permitirá a los clientes de este servicio total control de gestión y administración sobre su servidor virtual Mac.

Según la ultima encuesta realizada por la consultora Enterprise Desktop Alliance a 314 empresas, han mostrado que el 74% de ellas planea pasar sus equipos a Mac. Este cambio de filosofía en las empresas responde a una nueva percepción por parte de los profesionales de la mejora en la productividad, según el mismo estudio el 60% de los administradores de equipos y redes apuestan por la tecnología Mac. Apostando por el alto rendimiento y fiabilidad ofrecidos por todos los equipos Mac, y destacando principalmente el rendimiento de los servidores Xserve.

Xserve es el primer server virtualizado del mundo con OS X Leopard. El Xserve incluye un rápido bus a 1.600 MHz y una memoria a 800 MHz que dan como resultado una banda de memoria más ancha. Las velocidades de almacenamiento y los tiempos de acceso son las más excepcionales de la historia del Xserve.

La virtualización con Xserve proporciona un excelente equilibrio de control, aislamiento de recursos y el futuro de escalabilidad. Interdominios utiliza el más reciente hardware Xserve junto con el software de virtualización de Parallels. Toda esta tecnología es profesionalmente instalada y gestionada por Interdominios.

Desde principios del mes de Marzo de 2.009 Interdominios hace una apuesta segura, siendo el primer ISP que lanza el servicio de virtualización de servidores Xserve, ofreciendo a empresas y profesionales la posibilidad de disponer de todos los servicios y aplicaciones de un servidor dedicado Xserve. Algo que permitirá ofrecer un producto y un servicio de calidad basado en tecnología Mac.

Planes de alojamiento en Interdominios;

Alojamiento GNU/Linux | Alojamiento Windows | Alojamiento X-SERVE.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

En algunas ocasiones, habréis visto como vía iptables o usando un firewall tipo Shorewall, APF, o los que vienen con un CPanel, Plesk etc, el acceso a los hosts virtuales en Apache a través de vuestro cliente FTP, se ve afectado con continuas caídas o simplemente, al intentar conectar da un “timeout”.

Una de las ventajas de Pure FTPd (entre muchas otras) es que nos permite definir a través de que rango de puertos se tramitaran las conexiones pasivas (de ese modo se conectan la mayoría de los clientes FTP). Como sabéis, el servidor FTP puede estar “escuchando” un puerto y a la espera de recibir conexiones (por ej el 21) y luego, deriva las transferencias hacia otros puertos.

Este hecho, en otros servidores FTP puede provocar muchos dolores de cabeza al administrador del sistema, ya que es muy complicado saber a priori a través de que puertos se realizarán las transferencias de datos y por lo tanto, a la hora de establecer las políticas de acceso al servidor web en el firewall este hecho se revela como un problema.

Por suerte, en Pure FTPd, se pueden definir estos puertos de un modo sencillo para luego incluirlos en vuestro firewall. Dentro de /etc/pure-ftpd/conf, tenéis que crear un fichero con el nombre PassivePortRange (como está, con mayúsculas y minúsculas) caso de que no esté creado.

Abrís vuestro editor de texto favorito para crearlo, en este caso vim;

vim PassivePortRange

y una vez dentro, tendréis que incluir el rango de puerto deseado del modo siguiente;

27750 28000

En este caso he incluido ese rango de puertos pero pueden ser otros (cuidado de que no estén usándose por otro servicio), podéis dar un vistazo a los puertos más comunes y su función o servicio.

Después y una vez definido ese rango de puertos en vuestro firewall, sólo tendréis que reiniciar el PureFTPd para que los cambios se hagan efectivos del siguiente modo;

/etc/init.d/pure-ftpd restart o /etc/init.d/pure-ftpd-ldap restart si está ejecutándose bajo ldap.

Os tendrá que aparecer algo similar a esto;

Restarting ftp server: Running: /usr/sbin/pure-ftpd-ldap-virtualchroot -l ldap:/etc/pure-ftpd/db/ldap.conf (omito algunas opciones) -p 27750:28000 -B

Ese -p 27750:28000 indicará que las transferencias en modo pasivo se harán entre esos puertos (-p passiveportrange) y si esos puertos están bien indicados en el firewall os podréis conectar vía FTP sin problemas.

(Update 5/12/2012)

Buen apunte del amigo Rastreador (vía Twitter) un tip para Amazon:

Añadiría que si ip serv. <> ip publica hay q utilizar pasv_address=ip_publica . En AWS imprescindible

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Desde phpt.net anuncian la disponibilidad de la versión 5.2.9 que viene a solventar unas 50 vulnerabilidades encontradas en la rama 5.2.x.

Algunas de ellas están catalogadas como «severas», por lo que conviene actualizar a la mayor brevedad posible tal y como informan en el anuncio de la release.

Los fallos más notables solucionados son los siguientes;

• Fixed security issue in imagerotate(), background colour isn’t validated correctly with a non truecolour image. Reported by Hamid Ebadi, APA Laboratory (Fixes CVE-2008-5498). (Scott)
• Fixed a crash on extract in zip when files or directories entry names contain a relative path. (Pierre)
• Fixed explode() behavior with empty string to respect negative limit. (Shire)
• Fixed a segfault when malformed string is passed to json_decode(). (Scott)

Toda la lista de cambios | Sección de descargas.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Acaba de ser liberada la versión 1.4.21 del software de gestión de galerías fotográficas Coppermine. Una actualización de seguridad que solventa una grave vulnerabilidad descubierta recientemente.

Esta nueva vulnerabilidad, CSRF (Cross-site request forgery), para la que según parece podría existir un exploit,  afectaría a todas las versiones 1.4.20 y anteriores.

Desde la web oficial del programa, se recomienda actualizar a esta nueva versión de Coppermine, a la mayor brevedad posible. Además de corregir esta vulnerabilidad, se añaden nuevas mejoras de estabilidad.

Descarga de Coppermine | Tutorial para actualizar Coppermine |

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Nuevas versiones para el popular, y potente, gestor de contenidos (CMS), Drupal.

Estas nuevas versiones no incluyen ninguna novedad y han sido lanzadas con la única finalidad de corregir problemas de seguridad calificados como críticos.

La actualización es altamente recomendada y es necesario correr el archivo update.php después de hacerlo para refrescar la caché del menú y cualquier otro tipo de caché existente en el sistema; la actualización no afecta a los archivos .htaccess y robots.txt (cualquier actualización sobre estos tendría que ser posterior y a mano) ni a los archivos settings.php (por defecto).

Existe un parche para las versiones anteriores a esta nueva actualización, la 6.9 y la 5.15 (el parche no es válido para versiones anteriores a estas).

• Anuncio oficial.
• Descarga versión 6.10
• Descarga versión 5.16

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Según se puede leer en el blog de desarrollo de WordPress, (ENG) se acaba de liberar la versión 2.7.1 de este gestor de contenidos tan utilizado actualmente.

Se trata de una versión de mantenimiento y se han solventado 68 tickets pendientes abiertos en el trac (lugar de desarrollo) de WordPress.

También informan de que vía el menú “herramientas” “actualizar” se puede realizar el update o ,de otro modo, según el método tradicional descargando la nueva versión al completo.

Os recordamos que para actualizar sin sustos, puedes consultar nuestro tutorial.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

El popular gestor de foros ha lanzado una nueva actualización, la 1.1.8., que viene a solventar algunos errores encontrados en la versión anterior. Se recomienda actualizar lo antes posible a esta nueva versión.

Además, en el tema del anuncio, informan de que han lanzado una nueva versión de la rama de desarrollo 2, la 2.0 RC1 y que se puede actualizar igualmente a esta nueva versión, eso sí recordar que es una versión no estable y que no es recomendable ponerla en producción.

Los usuarios de la versión 1.0.x deben actualizar a la versión 1.0.16. Se puede actualizar a través del panel de administración o vía FTP, esta nueva versión podría dar problemas actualizando desde el panel y entonces sí o sí habría que hacerlo manualmente. Os copio una pequeña guía escrita por Dabo para actualizar sin problemas:

Tutorial para actualizar foros SMF (by Dabo).

1– Ponéis el foro en mantenimiento y el idioma en Inglés (si no, os dará fallo).

Continue reading…