Daboweb | Seguridad y ayuda informática |

Se han reportado nuevas versiones para Drupal, dos actualizaciones de seguridad que corrigen diversos problemas y otras dos de mantenimiento que solo corrigen bugs comunes.

Las versiones 7.11 y 6.23 solucionan un problema de seguridad de tipo CSRF (más info) calificado como moderadamente crítico donde un usuario validado podría forzar las actualizaciones mediante un feed que provocase una denegación del servicio (por ejemplo Twitter que limita las peticiones a 150 por hora), además de otros problemas relacionados con OpenID y el módulo de archivos.

Aparte tenemos las versiones de mantenimiento sobre las dos anteriores, 7.12 y 6.24 que al mismo tiempo solucionan los errores antes comentados.

Anuncio oficial, en inglés.

Un mes más, te recomendamos el recopilatorio de entradas publicadas en Daboweb en Diciembre de 2011, por si en el día a día de la publicación, alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

diciembre 2011

• 31: Desde Daboweb os deseamos un feliz y seguro 2012
• 27: [Breves] Foros SMF 2.0.2 y 1.1.16 solventan vulnerabilidades críticas
• 27: Fallo de seguridad en el navegador de Android
• 24: Nuestra tarjeta de Navidad
• 22: [Breves] phpMyAdmin 3.4.9 solventa dos vulnerabilidades XSS
• 21: Pablo Soto, creador de programas P2P, es declarado inocente
• 21: Firefox 9 ya disponible para Windows, GNU/Linux y Mac OS X (cada vez más rápido)
• 14: Actualizaciones de Microsoft Diciembre de 2011
• 13: Megaupload demanda a la discográfica Universal
• 13: WordPress 3.3 “Sonny”. Versión final, descarga disponible
• 07: Revista electrónica de seguridad (IN)SECURE Magazine, número 32.
• 06: [Breves] Drupal 7.10 Released
• 04: 0-day en Yahoo Messenger
• 02: Publicado en Daboweb. Noviembre de 2011
• 01: [Breves] Abierto el registro para el Congreso de Seguridad Rooted CON 2012

Drupal 7.10, acaba de ser liberado viniendo a solventar numerosos errores localizados en el CMS (gestor de contenidos). Aunque tal y como informa su equipo de desarrollo no hay actualizaciones de seguridad, es más que recomendable instalar esta versión.

Lista de cambios completas | Descargas.

El equipo de Drupal acaba de anunciar la disponibilidad de la versión 7.9 del CMS que trae consigo una importante corrección de errores (en este caso no se trata de una actualización de seguridad). Para más información os remitimos a la lista de cambios.

Descarga directa de Drupal 7.9 (tar.gz).

El equipo de Drupal acaba de anunciar la disponibilidad de la versión 7.8 del CMS que trae consigo una importante corrección de errores (en este caso no se trata de una actualización de seguridad). Para más información os remitimos a la lista de cambios.

Descarga directa de Drupal 7.8 (tar.gz)..

El equipo de desarrollo de Drupal acaba de anunciar la disponibilidad de Drupal 7.7, otra entrega del CMS que no trae nuevas funcionalidades, pero que solventa varios problemas de seguridad localizados en Drupal. En esta nueva versión hay un salto de versiones desde la 7.4 ya que sobre la 7.5 (la actualización de seguridad) se han lanzado dos nuevas actualizaciones que solventan algunos bugs, la lista completa de corrección de errores se puede leer sobre las notas de la versión 7.6

Por ello, es más que recomendable su inmediata actualización, para más información sobre este lanzamiento puedes consultar el anuncio de esta «release». Descarga de Drupal 7.7. (tar.gz).

El equipo de desarrollo de Drupal acaba de anunciar la disponibilidad de Drupal 7.4, otra entrega del CMS que no trae nuevas funcionalidades, pero que solventa varios problemas de seguridad localizados en Drupal.

Por ello, es más que recomendable su inmediata actualización, para más información sobre este lanzamiento puedes consultar el anuncio de esta «release». Descarga de Drupal 7.4. (tar.gz).

Han sido liberadas cuatro actualizaciones nuevas de las dos ramas de desarrollo de Drupal. Las versiones 7.1 y 6.21 solo solucionan los problemas de seguridad mientras que las versiones 7.2 y 6.22 incluyen además corrección de errores.

No se entiende muy bien por qué lanzar dos versiones diferenciadas en el mismo momento cuando tanto una cosa, corregir problemas de seguridad, y la otra, corrección de errores, deben ir unidas de la mano en busca de un correcto funcionamiento de los sitios.

El archivo .htaccess ha cambiado en la versión 7.2, es importante tener una copia del que tengamos actualmente con las modificaciones que hayamos hecho. settings.php y el robots.txt no se modifican en esta actualización aunque es conveniente también tener una copia, como del resto de archivos.

En la versión 6.22 el que cambia es el robots.txt, así que cuidado a la hora de actualizar.

• Anuncio oficial.
• Descarga versión 7.2
• Descarga versión 6.22

Reseñamos en esta entrada un artículo de nuestro compañero Shicefgo en el que veremos como instalar Drupal 7.0 en español y como solucionar el mensaje de error «no puede guardar archivos en sites/default/files/tmp.»

Lo básico no tiene ningún misterio: Preparas tu base de datos MySQL, anotas el nombre del usuario y la contraseña, descomprimes el paquete de Drupal 7, que puedes descargar de aquí, lo subes y entras a tu sitio por la url para empezar la instalación. Sobre lo básico hay mucha información en la Red.

Pero pueden surgir un par de problemillas que desde aquí vamos a tratar de ayudarte a solucionar y que son el motivo principal de esta entrada: uno es configurarlo para el idioma español y el otro un mensaje de error que puede dar una vez instalado, diciendo que no puede guardar unos archivos en sites/default/files/tmp.

Instalando en español

Una vez que hayas subido el core y antes de empezar la instalación propiamente dicha, tienes que descargar el archivo de la traducción de aquí (al menos a la fecha en que escribo esto). Pincha en el “Download” que hay a continuación del “Drupal core 7.0″ y en la misma línea. Súbelo a la carpeta profiles/standard/translations y ya está todo listo para que te presente la opción de instalar en español.

Hay que tener presente que, cuando la instalación llegue a “Configurar traducciones” puede que se quede ahí “pillada”. En local no me lo ha hecho, pero en remoto sí. Si se queda, pues nada, a prepararse tranquilamente una infusión dándole su tiempo, y después recargar la página e ir al enlace de la página de error. A mí me funcionó, así que lo mismo a tí también. El motivo de este “parón” parece ser algo relacionado con la tecnología AJAX.

El mensaje de error relativo a tmp

Esto puede ocurrir porque drupal 7 necesita no sólo acceso total a las carpetas sites/default/files y sites/default/files/tmp, sino que el propietario y el grupo de las mismas sean los “del dueño del sitio y su grupo”, o como un ejemplo vale más que mil palabras, el mismo usuario y grupo que tenga el archivo sites/default/default.settings.php. Como yo tengo acceso root al servidor, pues cambio lo que me da la gana como quiero sin problemas, pero una posible solución para quienes no son tan pringados afortunados puede ser la que sugiero a continuación. De todas formas, ten presente que el objetivo es conseguir que sites/default/files y sites/default/files/tmp tengan permisos 777 (totales) y pertenezcan al usuario y al grupo que dijimos.

La solución  sugerida es entrar por ftp a nuestro sitio y crear estas carpetas antes de que las cree el propio Drupal (es decir, antes de ir a nuestra url para empezar la instalación), con lo que ya pertenecerán directamente al usuario y grupo adecuados. No nos olvidemos de darles los permisos.

Luego copiamos el archivo sites/default/default.settings.php con el nombre sites/default/settings.php y le damos permisos 666 para la instalación (más tarde habrá que reponer los permisos de ese archivo a 644, cosa de la que nos avisará el propio drupal).

Resumen de comandos a utilizar una vez que hemos subido todos los archivos de Drupal 7  y antes de ir a nuestra url (suponemos que ya estamos dentro de la carpeta raíz de nuestra instalación):

cd sites/default
cp default.settings.php settings.php
chmod 666 settings.php
mkdir -p files/tmp
chmod 777 files
chmod 777 files/tmp

Ahora entramos a nuestra url, realizamos la instalación y cuando haya terminado:

chmod 644 settings.php

Y esto es todo, rapidito y práctico, para no entretener demasiado al personal.

Artículo original.

Esta entrada es solo un recordatorio sobre lo que comentábamos hace tiempo sobre el fín del soporte oficial de Drupal a la rama 5 de desarrollo del popular CMS. 3 años y dos semanas después del lanzamiento de esta versión se va a dejar de dar soporte con todo lo que ellos incluye.

Desde el propio sitio recomiendan actualizar a la versión 6 ya que la 7 es demasiado joven y podría no hacer la migración correctamente; también informan de que si pretendes continuar con tu versión 5 hay un grupo que pretende dar soporte a esta versión como si fuese una LTS (por la noticia en sí parece que se jactan de que este grupo no tenga demasiado éxito).

Nota en Drupal.

Salió por fín la nueva versión de Drupal, como toda nueva rama de desarrollo incluye una gran cantidad de novedades, la nota de prensa con el lanzamiento de la nueva versión se ha publicado en 11 idiomas incluido el español.

Recordamos como en la última actualización disponible de la rama 6 que es conveniente, casi obligatorio, actualizar a las versiones 6 ó 7 para seguir disfrutando del soporte por parte de la comunidad de desarrollo y evitar en la medida de lo posible agujeros de seguridad que puedan presentarse en versiones desatendidas.

Principales nuevas características de Drupal 7.

• Mejoras en la experiencia de usuario gracias a un diseño enfocado en el 80% de los usuarios que hace las tareas comunes más sencillas, opciones por defecto más inteligentes, facilita la tarea del creador de contenido y simplifica la administración
• Gestión de imágenes listo para usar, redimensionar, cortar, etc.
• Entorno de test automatizado incluido en el núcleo que proporciona un sistema de integración continua que comprueba cada parche y favorece la estabilidad del proyecto a largo plazo.
• Gestor de actualizaciones y migración de Drupal 6 a Drupal 7.
• Mejoras en el rendimiento y la escalabilidad que responde a los visitantes de la web más rápido mediante el uso de caché avanzada, content delivery networks (CDN) y replicación maestro-esclavo.
• Personalización de campos incluida en el núcleo, campos nativos de datos para cualquier tipo de contenido, pero también para usuarios, vocabularios y otras entidades, además de soporte para las traducciones.
• Capa de abstracción de la base de datos que habilita el uso de muchas bases de datos, como MariaDB [http://mariaDB.org], Microsoft SQL Server [http:/www.microsoft.com], MongoDB [http:/www.mongodb.org], Oracle [http://oracle.com], MySQL [http:/www.mysql.com], PostgreSQL [http:/www.postgreSQL.org] o SQLite [http:/www.sqlite.org].

Nota oficial. Descarga. En español.

Ha sido liberada la versión 6.20 de este gestor de contenidos, es una versión de mantenimiento que no incluye actualizaciones críticas ni de seguridad pero que corrige un buen número de errores.

En la misma noticia recuerdan que la versión 5 dejará (o ha dejado) de actualizarse por la liberación inminente de la nueva versión 7 que va actualmente por la RC2 (segunda versión candidata a versión final); recomiendan actualizar a la versión 6 (mínimo).

El archivo robots.txt ha cambiado (más info) y recordamos que esta nueva actualización no pisa los archivos settings.php (el que va por defecto) y .htaccess; aún así desde aquí recomendamos hacer copia de estos archivos, de la base de datos y de cualquier archivo importante por lo que pudiera pasar.

• Anuncio oficial.
• Descarga versión 6.20

Nueva versión de mantenimiento para Drupal, esta versión no incluye ninguna actualización de seguridad pero aún así es recomendable actualizar a esta nueva versión que corrige pequeños fallos de versiones anteriores.

Entre la lista de correcciones se encuentra un mejor manejo de las sesiones a través de las cookies, mejora la compatibilidad con PostgreSQL, PHP 5.3, PHP 4 ..

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x, versión de mantenimiento que soluciona errores menores, como de costumbre y varios problemas de seguridad (más info, eng).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Recordamos que esta nueva actualización no pisa los archivos robots.txt y settings.php (el que va por defecto) como viene siendo habitual en las últimas versiones/actualizaciones; aún así desde aquí recomendamos hacer copia de estos archivos, de la base de datos y de cualquier archivo importante por lo que pudiera pasar.

En cambio el .htaccess sí ha vuelto a cambiar (más info, eng). Desde la web de Drupal recomiendan encarecidamente la actualización completa a esta última versión.

• Anuncio oficial.
• Descarga versión 6.16
• Descarga versión 5.22
• Parche versión 6.15
• Parche versión 5.21

De todos es sabido que las redes sociales son uno de los lugares preferidos por los spammers (correo electrónico no solicitado) y creadores de malware (programas maliciosos) para comprometer la privacidad o integridad del sistema de quienes las frecuentan.

Uno de los lugares más acechados es FaceBook y de la mano de WebSense, nos llega la versión 2 de Defensio, una especie de «firewall» o protección de tu muro, comentarios en una bitácora, etc, etc. Defensio 2.0 no es sólo válido para blogs gestionados con  WordPress o Drupal, se soportan muchos más servicios «2.0», pero la gran novedad, es la protección en tiempo real de una cuenta de FaceBook.

Esta solución de seguridad para la web social, te protegerá del spam además de enlaces con contenido malicioso, bien borrando su contenido o dejándolo en cuarentena como haría un antivirus al uso. Filtros para contenidos como apuestas, venta de medicamentos (viagra especialmente), pornografía además de ficheros ejecutables o scripts que puedan comprometer la seguridad de la cuenta del usuario.

Todo ello de un modo gratuito previo registro nada complicado aunque en Inglés. ¿Qué es Defensio? (ENG).

Fuente Darknet (ENG). Más info en Threatpost (ESP), recomendable blog sobre cuestiones de seguridad.