Daboweb | Seguridad y ayuda informática |

A través de una información publicada en S21sec, ayer pudimos saber que uno de los proyectos con más peso en cuanto a la administración de bases de datos MySQL vía web, tuvo un problema de seguridad que afectó a uno de los «mirrors» desde el que se distribuye phpMyAdmin. En concreto, la web del proyecto informa que la versión afectada fue «3.5.2.2-all-languages.zip«.

La recomendación ante la duda es reinstalar o comprobar si la versión instalada contiene un fichero con el nombre de server_sync.php

Se han reportado por parte de Debian dos vulnerabilidades en el gestor de bases de datos phpMyAdmin. Se recomienda su actualización a la mayor brevedad posible debido al impacto de las mismas en el sistema caso de ser explotadas.

La versión «oldstable» (lenny) no está afectada por estos problemas, para la rama actual estable (Squeeze), hay que actualizar phpMyAdmin a la versión 4:3.3.7-7., en la de pruebas «Whezzy» hay que actualizar a la 4:3.4.7.1-1.:

Referencias sobre los bugs (entre ellos un XSS).

In the Debian bugtracking system: Bug 656247.
In Mitre’s CVE dictionary: CVE-2011-1940, CVE-2011-3181, CVE-2011-4107.

Según leemos en Hack Players, la web de MySQL ha sido víctima de un ataque  cuyo resultado, a falta de más datos sobre los contenidos que aloja, es la posible infección por malware de quienes lo visiten. Es la segunda vez este año que mysql.com sufre un ataque (no ponemos el enlace ya que ahora mismo, no es seguro visitar su web). En Slashdot se ha publicado que vendieron el exploit por 3.000 $.

Se trata de un «iframe» ofuscado en su código, que realiza una redirección a un servidor localizado en Alemania, para acto seguido, llevar al visitante a otro servidor desde donde se ejecuta un exploit. Recomendamos extremar las precauciones si se ha visitado recientemente y realizar un análisis del equipo en busca de posibles rastros de malware.

Nueva versión disponible de este servidor de bases de datos libre, el cual ofrece prestaciones avanzadas y al que muchos expertos califican como mas fiable que MySQL sobre todo a la hora del manejo de grandes volúmenes de datos. En esta entrega se incorporan características como el deniominado «K Vecinos Más Próximos (K-Nearest-Neighbor, KNN)», una potente búsqueda de resultados usando el método de la indexación. En este enlace tenéis la nota del lanzamiento oficial, asi como una lista detallada de las funcionalidades de PostgreSQL 9.1, con las que seguro muchos administradores de bases de datos verán mas que cumplidas sus necesidades.

PostgreSQL se distribuye con una licencia libre de tipo BSD, con lo que puede ser una alternativa mas que viable a un posible «cambio de rumbo» de Oracle con respecto a MySQL, ya que como muchos de vosotros sabéis, este gigante informático nos viene dando una serie de «disgustos» a los usuarios de aplicaciones de código abierto y libres. Dentro de la comunidad libre hay otras opciones dignas de ser llamadas como recambio de MySQL, como por ejemplo MariaDB, la cual deriva del mismo y ofrece grandes similitudes o mejoras con respecto al proyecto padre.

Se ha reportado por parte de Norman Hipper una vulnerabilidad catalogada como «seria« por el equipo de phpMyAdmin que afecta a versiones desde la 3.3.0 a la 3.4.3.2 (CVE-2011-3181).

La explotación del XSS vía un ataque «cross-site scripting«, puede hacer posible que un atacante remoto consiga conectarse al popular gestor de bases de datos Open Source con el peligro que ello conlleva.  Para paliarlo, se recomienda encarecidamente actualizar el software a las versiones 3.3.10.4 or 3.4.4 o aplicar los parches que se han puesto a disposición de los usuarios.

Más información y parches; en phpMyAdmin | The H Security.

Visto en; UnixenMac

Así empieza el anuncio original del lanzamiento de WordPress 3.2; Are You Ready for WordPress 3.2? Quizás ese «¿y tu servidor web? debería ir en el título, los requisitos mínimos han cambiado y debes saber que la versión 3.2 pide que se ejecute PHP 5.2.4 y MySQL 5.0.

Si tu plan de alojamiento no cumple esos mínimos, no te saldrá el aviso de actualización en tu tablero o panel de administración, si vas a «actualizaciones» verás el aviso de que no se cumplen las características anteriormente comentadas.

Este detalle de los requisitos, no es algo para no tener en cuenta, ya que si bien en la mayoría de los casos con MySQL no habrá tanto problema al estar la mayoría con 5.0x, hay servidores que no están con PHP 5.2.4 o superior (ya hay usuarios comentando este hecho) aunque a «fuerza» de demandarlo, las empresas de hosting que alojan entre muchos otros CMS (gestores de contenidos) WordPress, por su propio interés irán poniendo al día PHP y MySQL aunque quizás no hablemos ni de un 5% de los casos.

Hablando de requerimientos, comentan que dejan de dar soporte a Internet Explorer 6, un navegador ya con 10 años de vida y ampliamente superado por nuevas versiones y si tu navegador es antiguado te saldrá un mensaje en el panel de admin (dicen que eso sí, amigable;) «amarillo anaranjado» indicando que hay una versión más reciente del mismo. De todos modos, se entiende que además lo harán con versiones obsoletas de navegadores como Firefox, Chrome o Safari.

¿Novedades más destacadas?

El editor TinyMCE se ha hecho más «2.0», ahora es más moderno y se puede combinar la vista habitual con otra más minimalista y que no distrae tanto cuando escribes (a Matt, creador de WordPress es una de las novedades que más le gustan, la visión «zen» con un click).

El panel de administración también ha tenido un nuevo rediseño y ahora es también más rápido cuando se accede, hablando de velocidad, es un punto en el que comentan que han trabajado a fondo (es cierto que se ve todo más fluido según he podido comprobar).

El tema por defecto, Twenty Eleven, todo bajo HTML5 y la verdad con muy buena pinta además de con variadas opciones de configuración. También habrá mejoras visibles en las actualizaciones, los enlaces internos vía el editor HTML, etc.

Hay que tener en cuenta que quizás en este momento no todos los plugins que estás usando puedan hacerlo bajo la versión 3.2 pero los más populares ya están preparados y el resto se entiende que estos días irán actualizándose.

Podéis actualizar vía vuestro panel de admin o desde la página de descargas de WordPress.

Oracle ha lanzado una nueva versión del sistema gestor de bases de datos MySQL, que alcanza con esta su versión número 5.5. Entre las principales novedades que trae consigo destaca que InnoDB será a oartir de ahora su sistema de almacenamiento por defecto, así como una mejora generalizada en el rendimiento de esta base de datos con licencia GPL ampliamente usada sobre todo en entornos libres.

La multinacional Oracle ha aprovechado este lanzamiento para reiterar su intención de seguir apoyando el software libre, manifestando que la continuidad de MySQL está asegurada sin que ello suponga algún peligro comercial para su otro gestor de bases de datos. Nuevamente estamos ante otro capítulo de Oracle vs. Software Libre que tanto ha dado que hablar en las últimas fechas.

Así que ahora viene la pregunta del millón: ¿nos fiamos de Oracle?.

Nuestro compañero Dabo se pone en esta ocasión al micro junto a Ricardo Galli (Menéame, UIB) en un episodio especial de su podcast dedicado a la administración y gestión de un servidor o proyecto web.

El resultado, ha sido una didáctica charla sobre sysadmins entre dos colegas que nos van haciendo entrar en escena a medida que transcurre el podcast abarcando las siguientes cuestiones;

Escalado web, MySQL, Amazon, Apache, Ngnix, Caching, Monitorización, Seguridad.

Acceder a «Especial SysAdmins en Kernel Panic» (Dabo) | «Un podcast para SysAdmins« (Gallir).

Junto a la entrada original en DaboBlog, se puede ver una extensa documentación de todo lo comentado en el audio.

Y finalmente sucedió. Hoy hemos sabido que finalmente Oracle ha decidido finiquitar el proyecto OpenSolaris, lo cual pone punto y final a una serie de rumores y malos presagios que se iniciaron principalmente cuando se produjo un cambio de licencia en el mismo. Oracle, mediante un documento interno ha tomado la decisión de sustituir OpenSolaris por Solaris Express, de caracter gratuito, para posteriormente y segun parece, ir migrando todos esos sistemas hacia Solaris 11, no gratuito y de caracter privativo por supuesto.

Toda una maniobra de empresa y fundamentada en el beneficio económico que deja a la comunidad de usuarios y programadores en la estacada, sepultando de una vez por todas uno de los proyectos de caracter libre mas interesantes. Pero eso no es todo, el código fuente de Solaris solo será accesible a determinados clientes de Oracle los cuales sean «de su agrado», con lo que toda esa cantidad de valiosa información no estará disponible de manera abierta para aquellos que quieran trabajar sobre ella. Vamos, una auténtica sangría…

Oracle fundamenta esta decisión en su intención de centrarse en el desarrollo de Solaris 11, aunque sin duda esto reavivará los comentarios de esta compañía hacia el mundo de software libre y productos como Java o MySQL, de su propiedad tras su aquisición de Sun MicroSystems.

Desde el sitio web de WordPress anuncian el fín del soporte para PHP 4 y MySQL 4. Con datos en la mano la gente de WordPress estima que es el momento de pasar a versiones superiores ya que otros CMS como Drupal o Joomla! corren sobre estas y los vendedores de alojamiento migrarán completamente en breve, los que no lo hagan se pueden encontrar con el problema de que los clientes que usen WordPress para sus blog no puedan instalar las futuras versiones así que como bien dicen habrá que ponerse las pilas para mantener el negocio funcionando.

Con motivo de este brusco cambio recomiendan la instalación y ejecución de un plugin que confirmará si nuestro alojamiento está preparado para correr  WordPress 3.2 (la versión que implementará ambas novedades) y, más adelante, nos dará información útil sobre el mismo, desde la web oficial recomiendan tenerlo como imprescindible de cara al futuro a medio/largo plazo.

Según los datos facilitados sólo un 11% de las instalaciones de WordPress corren en una versión inferior a PHP 5.2 mientras que sólo un 6% lo hace en MySQL 4; por estos motivos WordPress 3.1, prevista para finales de este año,  será la última actualización que soporte ambas versiones de PHP y MySQL y la versión 3.2 (primer semestre de 2011) ya será completamente funcional bajo PHP 5.2 (o superior) y MySQL 5.0.15 (o superior).

Os mantendremos informados sobre estos puntos convenientemente.Lee la noticia original (en inglés).

Se han reportado vulnerabilidades en MySQL para Debian GNU/Linux 4.0 (Etch) y 5.0 (Lenny) explotables remotamente que podrían llevar a provocar ataques de denegación de servicio o la ejecución de código arbitrario en el sistema afectado.

Debian ya ha puesto a disposición de los usuarios las versiones que solventan estos bugs, por lo que es más que necesario actualizar MySQL a la mayor brevedad posible.

La solución pasa por instalar las siguientes versiones de MySQL;

Debian GNU/Linux etch – > mysql-dfsg-5.0 versión 5.0.32-7etch11
Debian GNU/Linux lenny -> mysql-dfsg-5.0 versión 5.0.51a-24+lenny2

Fuente, descarga y más info (para todas las arquitecturas)

¿Qué ocurre si en un momento determinado necesitas acceder a mysql y has olvidado la clave? En este artículo, nuestro compañero malditoadmin expone un procedimiento para acceder o establecer una nueva clave.
Todo el artículo.

Continue reading…