Daboweb | Seguridad y ayuda informática |

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en enero de 2013 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

• 29: La actualización 6.1 de IOS solventa 37 vulnerabilidades.
• 28: Publicada la Lección 17 de la enciclopedia intypedia. Datos personales. Guía de seguridad para usuarios
• 28: Nuevas versiones de ESET Nod32 6 y Smart Security 6
• 25: WordPress 3.5.1 disponible. Actualización de seguridad y mantenimiento
• 20: Revista gratuita fotográfica Foto DNG 77, Enero 2013
• 17: [Breves] Drupal 7.19 y 6.28 liberados (actualización de seguridad)
• 15: Actualización para Internet Explorer soluciona grave vulnerabilidad
• 14: [Breves] Actualización de Java que soluciona 0-day
• 08: Publicada la Lección 16 de la enciclopedia intypedia. Videovigilancia LOPD
• 08: Lección final del Algoritmo RSA en el MOOC Crypt4you de Criptored
• 04: Actualizaciones de seguridad en Foros SMF (versiones 2.0.3, 1.1.17 y 1.0.23)
• 04: Vulnerabilidad en Jetpack plugin para WordPress (borrad css_optimiser.php)
• 02: [Breves] Actualización de filtros Nauscópicos para AdBlock Plus, (Firefox y Chrome)

El pasado 16 de diciembre (se nos pasó publicarlo, pero se están detectando ataques con éxito en versiones vulnerables) el equipo de SMF puso a disposición de los usuarios las versiones 2.0.3, 1.1.17 y 1.0.23 de su sistema de foros. Las actualizaciones solventan un fallo de seguridad de impacto alto en todas las ramas, así como otros menores para la 2.0.x.

Recomendamos por tanto actualizar a la mayor brevedad posible todas las instalaciones de SMF.

(El método más cómodo para hacerlo, es desde el administrador de paquetes integrado en el panel de admin del foro si sólo se trata de parchear desde una versión anterior).

Además de los comentados, ayer, desde Packet Storm, se reportó una vulnerabilidad que afecta a la actual rama estable 2.0X a través de la cual es posible ver las rutas de instalación en el servidor (Path Disclosure). Tan sólo aclarar que este bug es real, pero sólo surte efecto si en php.ini el valor display_errors está = On (para que muestre los errores). Desde WHK Security (la fuente original y donde se reportó el bug) ofrecen una solución temporal hasta que el equipo de SMF lo solvente en futuras versiones.

El equipo de desarrollo del sistema de foros phpBB acaba de anunciar la nueva versión «Bertie’s long summer vacation» etiquetada como la 3.0.11, de mantenimiento que viene a corregir diferentes errores.

Además se ha mejorado la compatibilidad con PHP 5.4 y añadido un aviso sobre la versión mínima requerida para phpBB 3.1 orientada a usuarios con instalaciones de PHP antiguas.

Como siempre recomiendan actualizar a la mayor brevedad posible informando que solo darán soporte a las actualizaciones orientadas a esta versión y los problemas surgidos en la misma (nada nuevo bajo el sol).

Recordamos la conveniencia, siempre, de realizar copias de seguridad de los datos antes de proceder a actualizar.

Información sobre phpBB 3.0.11 | Zona de Descargas |

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Febrero de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Febrero 2012;

• 29: En Intypedia. Nuevo vídeo, lección 13. Seguridad en DNS
• 26: Aprende esperanto en GNU/Linux
• 25: El futuro de SMF
• 24: HijackThis es Open Source
• 19: Ubuntu Lucid Lynx 10.04.4
• 18: [Breves] Mozilla Firefox 10.0.2 solventa vulnerabilidad crítica
• 15: Actualizaciones de Microsoft Febrero de 2012
• 15: [Breves] Actualización crítica de seguridad para Firefox 10.0.1 Thunderbird 10.0.1 y SeaMonkey 2.7.1
• 12: Comprueba si el password de tu Router ADSL es visible vía web
• 07: Canonical “se deshace” de Kubuntu
• 07: Liberado Kernel Linux 3.2.5
• 03: Joomla! 2.5.1 y 1.7.5, actualizaciones de seguridad
• 02: Publicado en Daboweb, Enero de 2012
• 02: Drupal 7.11, 7.12, 6.23 y 6.24 actualización de seguridad

El equipo de desarrollo de SMF ha publicado una entrada en su blog para dar a conocer a la comunidad de usuarios de este CMS para gestión de foros sus planes de futuro a medio y largo plazo.

A más largo plazo comentan que, a petición de la comunidad, se trabaja en un proyecto mediante el cual se consiga una integración total de SMF con otros servicios, crear un instalador inteligente que permita a la vez que instalamos el foro poder integrar sistemas de blogs, galerías o wikis sin necesidad de hacks o complementos adicionales que es como funciona ahora mismo.

Este nuevo proyecto de nombre smCore (deducimos que Simple Machines Núcleo) no será exactamente SMF tal y como lo conocemos ahora si no que, por lo que se sobreentiende en la entrada, será una base sobre la que montarán los diferentes módulos, pudiendo ser estos un foro o algún otro servicio de los que comentaba antes (u otros por implantar). Lo que sí se sabe es que el primer módulo que se espera montar en el nuevo smCore será SMF 3.0, que será reescrito partiendo de la versión 2.1 Ya hay asignado un equipo de desarrollo y algunos colaboradores para trabajar en smCore, un trabajo que se desarrollará de forma independiente y separada del actual desarrollo del sistema de foros.

En cuanto a la versión 2.1 se añaden los siguientes cambios y mejoras:

• Soporte IPv6 – Específicamente en los mensajes, el seguimiento de IP y gestión de restricciones (bans).
• Sesiones de administradores y moderadores.
• Compatibilidad con la biblioteca jQuery.
• Mejora de la documentación del código.
• Tokens de seguridad.
• Limpieza de código.

Prometen más novedades en la siguiente entrada, estaremos pendientes. Entrada original (en inglés).

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Enero de 2012 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Enero 2012;

• 31: Problema de seguridad en sudo
• 26: Herramientas para la interpretación de capturas de red. (9/10) Parte 2
• 26: Navegador web Opera (11.61) solventa dos bugs, uno de ellos catalogados como crítico.
• 25: [Breves] Kernel linux-3.2.x soporta conector midi UM-ONE
• 25: Joomla! 2.5.0 y 1.7.4 actualizaciones de seguridad
• 24: [Breves] Actualización en Kernel de Ubuntu 10.10 solventa 3 vulnerabilidades.
• 23: Vulnerabilidades en Apache Tomcat 5, 6 y 7
• 22: Vulnerabilidades severas en phpMyAdmin. Debian Security (DSA-2391-1).
• 20: El FBI cierra Megaupload
• 19: Sobre la responsabilidad de la (IN) Seguridad. Interesante reparto / repaso
• 18: Contra la Ley #SOPA y en defensa de nuestros Derechos y Libertades Civiles
• 17: LibreOffice 3.4.5
• 17: Vulnerabilidades severas en Linux Kernel para Debian (DSA-2389-1).
• 16: Herramientas para la interpretación de capturas de red. (9/10) Parte 1
• 15: Comprueba vía web si tu equipo está afectado por “DNSChanger”.
• 12: Actualizaciones de Adobe Acrobat X y Reader X solucionan graves vulnerabilidades
• 11: Actualizaciones de Microsoft Enero de 2012
• 10: En Intypedia. Nuevo vídeo, lección 12. Seguridad en redes WiFi
• 03: [Breves] Disponible WordPress 3.3.1. Actualización de seguridad
• 02: Foros phpBB 3.0.10, versión de mantenimiento
• 02: Fallos de seguridad en WhatsApp
• 02: Contenidos publicados en Daboweb. Diciembre 2011

El equipo de desarrollo del sistema de foros phpBB acaba de anunciar la nueva versión «Bertie’s new year present» etiquetada como la 3.0.10, de mantenimiento que viene a corregir numerosos bugs.

Destacan en el post que han mejorado la asignación de permisos a los moderadores de tal modo que se pueden asignar de una forma más específica y menos generalizada y que la visibilidad del cumpleaños de los usuarios pasa a ser gestionado en el perfil donde se puede seleccionar mostrar ese dato o no hacerlo.

También afirman haber probado la versión sobre PHP 5.4 para que la actualización pueda hacerse sin problemas.

Como siempre recomiendan actualizar a la mayor brevedad posible informando que solo darán soporte a las actualizaciones orientadas a esta versión y los problemas surgidos en la misma (nada nuevo bajo el sol).

Recordamos la conveniencia, siempre, de realizar copias de seguridad de los datos antes de proceder a actualizar.

Información sobre phpBB 3.0.10 | Zona de Descargas |

El equipo de desarrollo del sistema de foros SMF, ha liberado dos nuevas versiones para las ramas 2.x y 1.1x que solventan vulnerabilidades catalogadas por ellos como críticas. Debido a este hecho, se recomienda parchear los foros a la mayor brevedad posible.

Recordad que para actualizar hay que poner el foro en mantenimiento, después como idioma «english» y una vez parcheado, hay que ejecutar el script (y luego borrarlo) www/miforo/upgrade.php. Más info y descarga de las versiones 2.0.2 y 1.1.16.

La vulnerabilidad y el exploit han sido reportados desde http://0verl0ad.blogspot.com/ (con créditos hacia http://xd-blog.com.ar y portalhacker.net) afecta al sistema de foros SMF 2.0. El asunto es serio, ya que puede desde afectar a usuarios con privilegios administrativos, así como al staff de moderación.

Destacar el gran trabajo que se ha hecho, publicando además del exploit, la solución para paliarlo, junto a una explicación acerca de cómo funciona el robo de «Tokens» y cómo se explota una vulnerabilidad de este tipo.

La solución;

Comenta o elimina las lineas 104 y 105 de /Sources/Subs-Menu.php, esto palía el problema y todo sigue funcionando:

Código;(Líneas 104 y 105).

/////////////////////////////////////////////////////
if (empty($menuOptions[‘disable_url_session_check’]))
$menu_context[‘extra_parameters’] .= ‘;’ . $context[‘session_var’] . ‘=’ . $context[‘session_id’];
/////////////////////////////////////////////////////

Más información y fuente, en exploits-db.

Entrada meramente informativa para comentaros que ya está de nuevo activa nuestra página de Facebook después de un tiempo inactiva por cuestiones técnicas.

Por lo que además de visitar nuestra portada, seguirnos vía RSS, también puedes hacerlo en facebook.com/Daboweb siguiendo el día a día de nuestras publicaciones. Obviamente, ahí está nuestro foro para cualquier duda técnica que te pueda surgir.

Y cada sois más los que os ponéis al día de la web a través de Twitter, os recordamos que la dirección es http://twitter.com/daboweb.

Esta madrugada el equipo de phpBB ha puesto a disposición de los usuarios la versión 3.0.9 del sistema de foros phpBB. Esta nueva entrega viene a corregir varios bugs reportados además de agregar nuevas características.

Entre las más destacadas, están los dos nuevos motores de almacenamiento en caché, al estilo SMF 2.0,  (WinCache para servidores Windows y Redis backend). También se ha implementado un control de intentos de inicio de sesión que ahora puede ser limitado por IP para combatir los robots spammers, hay correcciones en el campo nombre de usuario y contraseña, etc. Anuncio original del lanzamiento.

No obstante, el mejor soporte hablando de foros phpBB lo podréis encontrar en la comunidad amiga phpbb-es.com.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en marzo de 2011 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Marzo 2011;

• Linus Torvalds “se limpia el culo” con los estándares
• VLC 1.1.8 soluciona graves vulnerabilidades
• Actualizaciones de Adobe Flash Player, Acrobat y Reader solventan vulnerabilidades críticas
• [Breves] Dabo hablando de seguridad básica (y no tan básica) en el podcast de El Arca de la Alianza
• Linux Mint 10 LXDE
• Liberado Kernel Linux 2.6.38
• Smooth-Sec. Sistema IDS / IPS con motor Suricata e interface Snorby.
• Seguridad básica en Daboweb. Las cuentas de correo electrónico
• Apache 2.4 beta: httpd 2.3.11
• Java vulnerable en Mac OS X
• Actualizaciones de Microsoft marzo 2011
• Joomla! 1.6.1, actualización de seguridad
• Disponible Wireshark 1.4.4
• Actualización de samba para Debian
• Dabo entrevistado en el podcast de fotolibre.net

Ha sido lanzada una nueva actualización del sistema de foros SMF, esta nueva versión fué lanzada hace varios días (concretamente el 11 de Febrero) pero por diferentes motivos ha sido imposible la publicación de una forma más inmediata.

Es una actualización de seguridad aunque el changelog no muestra gran cosa en cuanto a información (tampoco entiendo por qué hay que descargarlo), viene además acompañada de un parche para versiones 2.0 RC4 y una nueva RC, la 2.0 RC5

Tutorial para actualizar foros SMF (by Dabo).

1– Ponéis el foro en mantenimiento y el idioma en Inglés (si no, os dará fallo).

2- Hago una copia exacta del foro actual por si necesito algo después (si habéis modificado el tema “default” os instala siempre una nueva versión y con ello plancha lo que hayáis personalizado o las imágenes añadidas por vosotros)

cp -prfv foro_actual foro_copia

3- Hago una copia de la base de datos por si cuando una vez actualizado el foro, al ejecutar el “upgrade.php” que toca la base de datos hay algún error.

mysqldump –opt -Q -u (nombre_usuario_mysql) -p base_datos > base_datos.sql (os pedirá el password y hará el volcado o “dump”)

4- Una vez descargado el fichero de actualización, lo coloco en la ráiz del foro y descomprimo el .zip o .tar.gz. De este modo se sobreescriben todos los ficheros antiguos por los nuevos. (Es lo mismo que descomprimir localmente en vuestro ordenador el archivo que os bajéis y subirlo al foro sustituyendo unos por otros para quienes lo hagáis vía FTP)

unzip smf_1-1-7_update.zip o tar -xvzf smf_1-1-7_update.tgz según el fichero de actualización descargado (.zip o .tar.gz)

Escribís “A” (opción All, todos) cuando os pregunte sobre los ficheros a sobreescribir.

5- Ahora ya está el foro actualizado, queda ejecutar www.vuestro_dominio_foro/upgrade.php desde el navegador para que haga los cambios en la base de datos, pero tenéis que dar permisos de escritura a Settings.php y Setting_bak.php para que funcione chmod 777 Settings.php Settings_bak.php. (Podéis hacerlo también desde vuestro programa FTP). Sed pacientes porque puede llevar tiempo el upgrade y para no cargar el server, SMF hace pausas en esta operación.

6 – Borráis el fichero upgrade.php (ya os sale un aviso arriba de que es un riesgo para la seguridad), ponéis de nuevo el foro en idioma español y quitáis la opción “en mantenimiento”. También recordad cambiar los permisos a Settings.php y Settings_bak.php con un chmod 644.

Como consejo final, os recomiendo vaciar la caché de vuestro navegador por si ha pasado algo con la plantilla usada y también hacer un “repair” y “optimize” a la base de datos;

mysqlcheck -r -u (nombre_usuario_mySQL) -p base_datos (os pide el password y hará la reparación)

mysqlcheck -o -u (nombre_usuario_mySQL) -p base_datos (os pide el password y hará la optimización)

Pero también podéis hacerlo vía el panel de admin del foro en la zona inferior “mantenimiento del foro”, (Buscar errores y reparar y optimizar las tablas de la base de datos).

Si tenéis alguna duda con este tutorial, por favor, planteadla en nuestro foro de Webmasters.

Página de descarga. Anuncio oficial.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en enero de 2011 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Enero 2011;

• Disponible Nmap 5.50
• [Breves] Titulares 24-30 Enero
• PiratPartiet critica la “ley Sinde”
• Herramientas para la interpretación de capturas de red. (7/10)
• Se acaban las ip “de toda la vida”
• Instalación de Falsos antivirus desde enlaces cortos en Twitter
• [Breves] Fin del soporte para Drupal 5, recordatorio
• Liberadas actualizaciones de seguridad de Oracle, Enero 2011
• China se apunta a los “derechos de autor”
• Felicidades DaboBlog !! 5 años online y Dabo entrevistado en Security By Default
• Disponible Wireshark 1.4.3
• Magazines Fentlinux: tercera entrega
• Actualizaciones de Microsoft Enero 2011
• Joomla! 1.6 disponible para descarga
• [Breves] Actualización de filtros Nauscópicos para AdBlock Plus
• Broadcom entra a formar parte de la Linux Foundation
• [Breves] Mac OS X 10.6.6 solventa bug en PackageKit
• Seguridad básica en Daboweb. Las copias de seguridad
• Drupal 7 disponible
• Liberado Kernel Linux 2.6.37
• Publicado en Daboweb, Diciembre de 2010

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Diciembre de 2010 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Diciembre 2010

• Os deseamos un seguro y feliz año 2011 -;)
• WordPress 3.0.4, actualización de seguridad importante
• Manuales Fentlinux (escritorios, snort, ipod y linux, find y kernel en Fedora)
• Feliz Navidad amigos
• Rechazada en el Congreso la Disposición Final Segunda de la “LES” (ley Sinde)
• MySQL 5.5
• Drupal 6.20, versión de mantenimiento
• Nmap Online. Escanea tu equipo y puertos remotamente con la potencia de Nmap
• Actualizaciones de Microsoft Diciembre 2010
• Sitio web en apoyo de WikiLeaks
• Actualizaciones de seguridad de Mozilla Firefox y Thunderbird
• WordPress 3.0.3, actualización de seguridad
• Seguridad básica en Daboweb. Enlaces cortos, como crearlos y precauciones
• QuickTime 7.6.9. solventa varias vulnerabilidades
• IMPORTANTE: Rectificación sobre el Zero Day de WordPress
• Parche y solución para vulnerabilidad “0-Day” en WordPress (todas las versiones)
• Manuales Fentlinux (contraseñas, cron y at, cyrus, documentación, yum y emerge)
• [Breves] Parada del foro y migración a un nuevo servidor. Tarea finalizada
• Servidores comprometidos con ProFTPD 1.3.3c descargado entre el 28-11 y el 1-12
• Actualización del kernel de Debian Linux 5.x
• Herramientas para la interpretación de capturas de red. (6/10)
• WordPress 3.0.2, actualización de seguridad
• Publicado en Daboweb, Noviembre de 2010