Daboweb | Seguridad y ayuda informática |

El equipo de Joomla acaba de liberar dos nuevas releases catalogadas como actualizaciones de seguridad para las ramas 2x y 3x. En concreto, la 2.5.15 que al igual que la 3.2.0, solventa tres vulnerabilidades XSS (dos de impacto medio y una de impacto alto en el «core» del CMS).

También se solventan múltiples bugs que afectan al funcionamiento en general de Joomla. Hay otra información de interés respecto a la rama 2.5x, el fin de soporte de está previsto para diciembre de 2014. Por lo que hasta esa fecha y según su propia información, no será necesario migrar a la rama 3x. En todo caso, urge actualizar las versiones anteriores de Joomla.

Más información sobre Joomla 2.5.15 | 3.2.0

Security Issues Fixed joomla! 3.2.0

• High Priority – Core XSS Vulnerability More information »
• Medium Priority – Core XSS Vulnerability More information »
• Medium Priority – Core XSS Vulnerability More information »

Security Issues Fixed joomla! 2.5.15

• High Priority – Core XSS Vulnerability More information »
• Medium Priority – Core XSS Vulnerability More information »
• Medium Priority – Core XSS Vulnerability More information »

Acaba de ser publicada una nueva versión de la solución de E-Commerce «Prestashop» bajo el número de versión 1.5.6.0. Esta entrega del software, solventa una larga lista de bugs localizados en versiones anteriores, por lo que os recomendamos actualizar a la mayor brevedad posible.

Información y descarga.

El equipo de desarrollo del sistema de foros phpBB acaba de publicar la versión 3.0.12 que solventa varios fallos de seguridad de importancia por lo que recomiendan parchear instalaciones anteriores de forma urgente.

También han actualizado la lista de bots/spyders, se ha mejorado la compatibilidad con versiones de PHP más recientes, el soporte de búsquedas «fulltext» en MySQL / InnoDB, hay mejoras en el medidor de passwords, la aprobación de temas desde el centro de moderación, etc.

Lista completa de cambios.

Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.6.1 y que solventa 13 bugs respecto a la entrega anterior (3.6). Está catalogada como “Actualización de Seguridad” y recomiendan aplicarla de forma inmediata.

Se han corregido 3 bugs de un impacto mayor (uno relacionado con PHP que podría derivar en la ejecución de código, otro con los roles de autor bajo el que se podría publicar un post con otro nombre y un error de validación de entrada que podría redirigir al usuario a otro sitio web), además de otro relacionado con la subida de ficheros y mitigar un potencial XSS.

La actualización, muy importante hacerla, está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

Tal y como podemos leer en el blog de desarrollo de WordPress, la nueva versión 3.6, de nombre Oscar, viene cargada con importantes mejoras.

Incluye entre otras cosas un nuevo tema por defecto, Twenty Thirteen y un mejorado sistema de autoguardado cada 15 segundos mientras estás escribiendo la entrada o cada dos minutos si no hay ninguna actividad en la pantalla. Un mejorado sistema de reproducción de audio y vídeo es otra de las novedades en esta última versión además de otras varias relacionadas con la propia interfaz, tanto en la revisiones de entradas, como menús y otras cosas. En el propio anuncio oficial hay disponible un vídeo como nos tienen acostumbrados últimamente en las actualizaciones mayores.

Descarga de WordPress 3.6 | Consulta nuestra guía de actualización de WordPress.

El equipo de Joomla! recupera viejas costumbres y a pocos días de la actualización anterior de mantenimiento publican una nueva de seguridad para las ramas 3.1 y 2.5 (nosotros llegamos con un pelín de retraso sobre la fecha de publicación). En concreto, está lista para descargar la versión 3.1.5 que corrige un problema de seguridad y otros siete errores.

También se ha liberado la versión 2.5.14 que corrige el mismo problema de seguridad que su hermana mayor y sin ningún otro añadido.

El problema de seguridad está reportado como de prioridad crítica por lo que es muy importante actualizar a la mayor brevedad posible, os recomendamos en ambos casos leer con detalle los dos post del anuncio de las nuevas versiones de Joomla!, tanto para instalaciones limpias como para actualizaciones desde versiones anteriores.

El equipo de Joomla! acaba de anunciar la disponibilidad de las nuevas versiones de la rama 3.1 y 2.5. En concreto, está lista para descargar la versión 3.1.4 con una gran cantidad de novedades y correcciones de errores sobre el funcionamiento general del CMS.

También se ha liberado la versión 2.5.13 sin incluir ninguna corrección de seguridad. Os recomendamos en ambos casos leer con detalle los dos post del anuncio de las nuevas versiones de Joomla!, tanto para instalaciones limpias como para actualizaciones desde versiones anteriores.

Según ha informado el proveedor de servicios de hosting OVH, han sufrido hace unas horas una incidencia de seguridad en su sede central. En concreto, esta es la información que han proporcionado a sus clientes:

Recientemente hemos encontrado una incidencia de seguridad en nuestra red interna de la sede central de OVH.

Nos hemos asegurado inmediatamente y encargado de las investigaciones. Hemos detectado que la base de datos de clientes en Europa ha podido ser ilegalmente copiada. Esta base comprende los siguientes datos: apellidos, nombre, nic-handle (identificador de cliente), dirección, ciudad, país, teléfono, fax y la contraseña cifrada. Los datos sobre tarjetas bancarias no se han visto afectados puesto que no son almacenados por OVH.

Incluso en el caso de que el cifrado de la contraseña de su identificador de cliente sea muy fuerte, le aconsejamos que la cambie lo antes posible.

Más información por parte de OVH.

Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.5.2 (segunda de la rama 3.5) y que solventa 12 bugs respecto a la entrega anterior (3.5.1).

Respecto a cuestiones de seguridad, se han solventado 7 vulnerabilidades «serias», varias relacionadas con XSS, DoS, entre ellas una relacionada con la librería de SWFUpload y otra con la librería externa del editor TinyMCE y otras menores. Podeis leer la traducción de estas correcciones de seguridad en Ayuda WordPress.

La actualización, muy importante hacerla,  está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

El equipo de Joomla acaba de anunciar la disponibilidad de las nuevas versiones de la rama 3.x y 2.x. En concreto, está lista para descargar la versión 3.1.0 con una gran cantidad de bugs solventados (242) en cuanto al funcionamiento  en general del CMS. Dentro de las actualizaciones, se incluyen 7 parches relativos a la seguridad que afectaban a versiones anteriores.

También se ha liberado la versión 2.5.10 como «Actualización de seguridad», por lo que es más que recomendable aplicar la actualización a la mayor brevedad posible. Os recomendamos en ambos casos leer con detalle los dos post del anuncio de las nuevas versiones de Joomla.

A modo de recordatorio, nos hacemos eco de la última actualización crítica de seguridad que se publicó el pasado día 1 para sistema de gestión de foros SMF. Tal y como informan en el anuncio oficial (ENG), se trata de parches críticos de seguridad por lo que es más que necesaria su inmediata actualización.

Las versiones afectadas son la 2.0.4 y 1.1.18. Podéis usar el gestor de paquetes desde el área de administración o descargar el parche correspondiente.

Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.5.1 y que solventa 37 bugs respecto a la entrega anterior (3.5). Además, podemos encontrar mejoras en el editor, librería multimedia, posts programados, API, etc.

Respecto a cuestiones de seguridad, se ha solventado una de la que ya nos hicimos eco relativa a escaneos de puertos y pingbacks que afecta a todas las versiones anteriores, además de tres XSS de diferente impacto (rel: «shortcodes», contenido de los post y la librería externa «Plupload»).

La actualización está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

El pasado 16 de diciembre (se nos pasó publicarlo, pero se están detectando ataques con éxito en versiones vulnerables) el equipo de SMF puso a disposición de los usuarios las versiones 2.0.3, 1.1.17 y 1.0.23 de su sistema de foros. Las actualizaciones solventan un fallo de seguridad de impacto alto en todas las ramas, así como otros menores para la 2.0.x.

Recomendamos por tanto actualizar a la mayor brevedad posible todas las instalaciones de SMF.

(El método más cómodo para hacerlo, es desde el administrador de paquetes integrado en el panel de admin del foro si sólo se trata de parchear desde una versión anterior).

Además de los comentados, ayer, desde Packet Storm, se reportó una vulnerabilidad que afecta a la actual rama estable 2.0X a través de la cual es posible ver las rutas de instalación en el servidor (Path Disclosure). Tan sólo aclarar que este bug es real, pero sólo surte efecto si en php.ini el valor display_errors está = On (para que muestre los errores). Desde WHK Security (la fuente original y donde se reportó el bug) ofrecen una solución temporal hasta que el equipo de SMF lo solvente en futuras versiones.

Tal y como podemos leer en Ayuda WordPress, se ha reportado una vulnerabilidad XSS explotable a través del plugin Jetpack para WordPress. Comprobad si se está ejecutando desde el navegador a través de tusitio.com/wp-content/plugins/jetpack/modules/custom-css/csstidy/css_optimiser.php.

En la fuente original se menciona un XSS en CSSTidy (css_optimiser.php) y se puede ver que data de julio de 2010...

Dicho fichero (más info en el trac) ha sido ya eliminado (borradlo en vuestro blog) el plugin funciona sin problemas.

Tal y como podemos leer en el blog de desarrollo de WordPress, la nueva versión 3.5 además corregir diversos fallos localizados en versiones anteriores, viene con importantes mejoras principalmente en la gestión de galerías, así como en el manejo de la biblioteca multimedia (organización, subida de ficheros, etc).

También hay mejoras en el tema por defecto (Twenty Twelve) que ahora está mejor adaptado a dispositivos móviles. Se han afinado los estilos del panel de administración (gráficos más depurados, selector de color y otros aspectos de menor utilización en el panel).

Desde este enlace podéis ver un vídeo con las nuevas funcionalidades. La lista al completo de cambios (ENG).

Descarga de WordPress 3.5 | Consulta nuestra guía de actualización de WordPress.