Daboweb | Seguridad y ayuda informática |

Se ha identificado una vulnerabilidad en este plugin para WordPress (hace los backups de la base de datos) y que viene con la distribución del mismo y que podría llevar a hacer posible revelar información sensible del servidor web.

Aclarar que es necesario estar conectado como administrador para llevar a cabo el ataque (directorio transversal).
La solución pasa por actualizar el plugin desde aquí.  Fuente original.

Según informan en Joomla Spanish se ha localizado una vulnerabilidad catalogada como crítica en JoomlaFCK editor que bajo ciertas circunstancias podría llevar a usuarios no autorizados a subir archivos .htacces al servidor web. La solución a este bug desde aquí.

ACTUALIZAR UNA GALERIA COPPERMINE.. por ladyblues

Tras una fugaz 1.4.7 que no llegó a durar 24 horas sale la versión 1.4.8 de las galerías Coppermine para subsanar algunas vulnerabilidades realmente serias. Si tienes una galería Coppermine es totalmente necesario que pierdas parte de tu valioso tiempo actualizando y es que más vale prevenir que lamentar.

1- COPIAS DE SEGURIDAD:
Lo primero que hay que hacer, y esto es ya como lo de lavarse los dientes después de las comidas, es hacer copias de seguridad de todo, hasta de las llaves de casa, porque si cometemos un error nos vamos a ver en una complicada situación que probablemente nos deje malhumorados. Repetid conmigo: COPIAS DE SEGURIDAD… sobra decir que la base de datos es fundamental.

/*Añadido por Dabo 14-4-2008, copia de seguridad de la base de datos */

¿Cómo actualizar? la verdad es que no es nada complicado y el proceso es muy transparente, conviene hacer un backup de la base de datos por si en el momento que se ejecuta el “update.php” y con los consiguientes cambios en MySQL, surge algún problema (no me ha dado ninguno)

Si tenéis acceso SSH es fácil, algo así como “mysqldump –opt -Q -u el_user_de_mysql -p (si tenéis password) base_datos > base_datos.sql y un intro en el terminal -;).

 

Si no, se puede hacer vía phpMyAdmin (tuto de WP para hacerlo) también caso de que lo tengáis en vuestro plan de hosting pero no olvidéis a la hora de exportar los datos o hacer el “dump” marcar estas opciones; ‘Add DROP TABLE’, ‘Add AUTO_INCREMENT’ and ‘Enclose table and field names with backquotes’. (Esto puede variar según la versión).

/*Fin del añadido */

Como diría Leticia Sabater, grande donde las haya, hay que hacer las cosas con alegría, más nos vale, por ejemplo yo tengo 5 galerías para actualizar así que mejor lo hago con buen humor.

2 – ARCHIVOS A CONSERVAR
El siguiente paso es localizar archivos importantes, esos pequeños y malditos archivos que no debemos alterar así como así o perder, a saber:

El archivo config.inc.php (os aseguro que el archivo es realmente importante) dentro de la carpeta INCLUDE

La carpeta Álbums (donde encontraremos esas fantásticas fotos que hacemos día tras día y que seguramente queramos conservar… o no)
La carpeta del Theme si estamos usando un theme que no sea cualquiera de los que trae por defecto Coppermine. Si no, podemos olvidarnos de ello.
Si habéis realizado cambios de forma manual, habéis personalizado vuestra galería debéis conservar el archivo template.html, de esta forma tras actualizar, podréis reponerlo y conservar la personalización.

3 – DESCARGA DE ARCHIVOS:
Bien, para descargar la nueva versión de las galerías podemos ir a: aquí. Podría dároslo más masticado y meter el enlace directo al zip, pero tengo unas capturas que hice sin saber por qué y ahora tengo que usarlas.

4 – SUBIDA DE ARCHIVOS AL SITIO:
Una vez realizadas las copias de seguridad pertinentes podemos proceder a subir los archivos totalmente seguros de nosotros mismos y sin que nos tiemble el pulso…
Procedemos a subir los archivos de los cuales hemos hecho copia en pasos anteriores, ya sabéis, albums, config.inc.php etc…

5 – ACTUALIZACIÓN
Una vez todo en su sitio, es tan sencillo como poner en nuestro navegador:

-http://www.nombredominio.com/update.php (en caso de que la galería esté en el directorio raíz del sitio)
-http://www.nombredominio.com/rutadelagalería/update.php (en caso de que esté en otro directorio dentro de la raíz)Y listo, nuestra galería está actualizada!!!6 – RECOMENDACIONES:
Y POR SUPUESTO HAY QUE BORRAR EL INSTALL.PHP Y EL UPDATE.PHP. Una cuestión de seguridad. OBLIGADA!!!!

PERMISOS: El archivo Albums debe tener permisos 777 si queremos subir fotos, de lo contrario nos dará error a la hora de subir imágenes a nuestra galería.

Para los que no sepan como va lo de los permisos os adjunto un manual realizado por LiamNgls:

http://www.manuales-e.com/content/view/29/50/

OBSERVACIÓN: El directorio Álbums por defecto está compuesto por index.php, el directorio edit y el directorio userpics.
En nuestro servidor, además de éstas pueden existir más directorios.
Es preciso sustituir el index de nuestra carpeta por el de la actualización, así como el directorio edit.
NO OBSTANTE hay que tener cuidado con userpics, debemos añadir el contenido de userpics (NUNCA SUSTITUIR EL DIRECTORIO DE GOLPE) a nuestra carpeta userpics en el server. De esta forma estamos incorporando los archivos de la actualización sin cargarnos nuestras imágenes.

Para los que os animéis a instalar desde cero una galería coppermine, aquí el tutorial.

Se encuentra disponible una nueva versión de PHP la 4.4.3, que corrige diversos bugs y solventa problemas de seguridad de versiones anteriores. Lista de cambios.   Mas informacion y descarga.

Publicamos un manual de JALBUM realizado por nuestro compañero choche en el  foro. JAlbum es un programa gratuito, que nos permite crear un album fotógrafico web de manera sencilla y que incorpora además su propio cliente ftp, para publicar fácilmente nuestro trabajo.

Acaban de liberarlo hace unas 6 h,  la versión 2.0.4 soluciona unos 50 bugs conocidos, algunos de gran importancia para el buen funcionamiento de vuestra bitácora. Recordaros que antes de hacer nada, hagáis un backup de las bases de datos.
WordPress 2.0.4.

He pensado que estaría bien reseñar este post de Daboblog sobre como crear un blog con WordPress y alojarlo en sus servidores. Además, Maty del Nauscopio junto con otros usuarios, ha ampliado la información siendo de interés para quienes queráis crear vuestro Weblog.

Acaban de liberar una nueva versión del CMS (la 1.0.10) que utilizamos en Daboweb. Esta nueva entrega del software soluciona algunos problemas de importancia de cara a la integridad y seguridad del portal así como mejoras en su funcionamiento interno. Toda la información e incluso descarga de la versión «Spanish Premium» accesible desde aqui.

Recibimos un mail de phpBB.com en el que se nos informa que existe un pequeño bug en la última actualización de este sistema de foros, que en principio solo afectaría a aquellos foros que utilizan más de un idioma. La solución pasa por corregir unas líneas del código que detallamos en nuestro foro.

Hace unos días os anunciábamos el lanzamiento de una nueva versión de este sistema de foros, desde phpbb.com anuncian que hay un Bug en dicha versión ya solventado en los nuevos paquetes a descargar. Se da en los foros con múltiples lenguajes instalados en combinación con otras circunstancias. Debajo os pego el código que hay que modificar en el caso de que hicieráis el «update» antes de ayer, Viernes,  sobre las 16 h que fue cuando corrigieron el «Bug».

Acaban de liberar la última versión de este sistema de Bitácoras, concrétamente la versión 2.0.3 que corrige diversos fallos conocidos, aquí los detalles de esta “release”. Para descargaros los paquetes actualizados podéis hacerlo desde aquí.También es interesante que le déis un vistazo a la guía de actualización en Castellano, el acceso desde aquí.

Vía Menéame nos hacemos eco de una vulnerabilidad en este popular sistema de Weblogs. Dada la gran difusión del Bug y ante la falta de una actualización por parte de WordPress, desde Daboweb os recomendamos proteger mediante .htaccess el acceso a los directorios ‘wp-content/cache/userlogins/’ y ‘wp-content/cache/users/’ o como medida más drástica deshabilitar el registro de nuevos usuarios hasta que haya una respuesta oficial por parte de WP.

OS Reviews ha reportado una vulnerabilidad grave en este sistema de estadísticas web gratuito y muy utilizado en versiones 6.5 y anteriores. Hay un problema en combinación con el script «awstats.pl» en combinación con otras variables y configuraciones que podrían llevar a que un atacante remoto lograra ejecutar comandos mediante una shell en un servidor web. La solución pasa por actualizar la versión a la 6.6 desde aquí. Información sobre el bug aquí.