Daboweb | Seguridad y ayuda informática |

Se ha descubierto que las URL de descarga de dos paquetes del sitio phpBB.com redireccionaban a un servidor de terceros que contenía una versión modificada con un archivo malicioso.

Este problema afectó a las descargas desde el sitio web y a las actualizaciones automáticas desde la versión 3.2.1 a la 3.2.2 entre las 12:02 PM UTC y las 15:03 PM UTC del 26 de enero de 2018.

El equipo de phpBB ha procedido a invalidar ese código con lo que no debería de suponer un problema para nadie, a pesar de todo si alguien cree tenerlo puede enviarlo por mail a [email protected] para que lo verifiquen. Si alguien ha realizado una instalación con el archivo malicioso puede abrir una incidencia en el tracker para que la ayuden a resolver el problema.

Las descargas ya ha sido restablecidas y son seguros, ante la duda se recomienda hacerse con una copia nueva.

Anuncio oficial., página de descarga.

Nueva actualización para WordPress, la 4.9.2 con consideración de seguridad y mantenimiento para todas las versiones desde la 3.7 que corrige un problema de XSS en los archivos de Flash de respaldo de la biblioteca MediaElement, como estos archivos ya no son necesarios para casi nadie han sido eliminados, además se ha lanzado un plugin que contiene los archivos corregidos.

Se corrigieron además otros 21 errores entre los que destaca uno de JavaScript que impedía guardar las publicaciones en Firefox.

La actualización es más que recomendada.

Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Info en el trac de WordPress, lista de cambios.

Fuente original.

Se han liberado nuevas actualizaciones para las ramas 3.2 y 3.1 considerada la primera como de seguridad y mantenimiento y la segunda únicamente como de seguridad.

La 3.2.2 soluciona un problema de seguridad, agrega funciones menores y corrige varios problemas de versiones previas, como complemento adicional ahora PHP permite el almacenamiento en memoria de Memcached. La versión mínima ahora recomendada pasa a ser la 5.4.7, es posible que las versiones entre la 5.4.0 y la 5.4.6 sigan funcionando aunque no lo hagan de la forma esperada. Otra novedad es el soporte de PHP 7.2 pero para usarla se recomienda asegurarse de que las extensiones sean compatibles con esta versión de PHP.

Además la 3.1.12 será la última actualización, de cualquier tipo, que reciba la rama 3.1 al haber excedido esta el tiempo de vida establecido.

Anuncio oficial 3.2.2, Anuncio oficial 3.1.12, página de descarga.

Nueva actualización para WordPress, la 4.9.1 considerada de seguridad y mantenimiento que soluciona cuatro problemas de seguridad que podrían ser aprovechados como parte de un ataque en varios vectores y otros once fallos extra, esta actualización afecta (o podría afectar) a todas las versiones anteriores desde la 3.7

La actualización es más que recomendada.

Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Info en el trac de WordPress, lista de cambios.

Fuente original.

Nueva actualización para WordPress, la 4.8.2 con consideración de versión de mantenimiento y seguridad que corrige 6 errores de las versiones previas y soluciona 9 problemas de seguridad.

Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Info en el trac de WordPress, lista de cambios.

Fuente original.

Joomla! lanza su nueva rama, la 3.8 que viene con una capa de compatibilidad para la futura versión 4.0, además de las mejoras (300) se han solucionado también dos problemas de seguridad.

Se recomienda actualizar a la mayor brevedad.

Noticia oficial: Joomla! 3.8.0 Release.

Publicada hace unos días una nueva actualización, de seguridad, para la rama 3.x de Joomla!, esta nueva actualización viene a solucionar dos problemas de seguridad y corregir 50 errores.

Se recomienda actualizar a la mayor brevedad.

Noticia oficial: Joomla! 3.7.4 Release.

Se han liberado nuevas actualizaciones para las ramas 3.2 y 3.1 consideradas ambas como de seguridad y mantenimiento, ambas corrigen tres problemas de seguridad y varios errores reportados de versiones previas.

Anuncio oficial 3.2.1, Anuncio oficial 3.1.11, página de descarga.

Publicada hace unos días una nueva actualización, de seguridad, para la rama 3.7 de Joomla!, esta nueva actualización viene a solucionar tres problemas de seguridad y corregir 230 errores.

Se recomienda actualizar a la mayor brevedad.

Noticia oficial: Joomla! 3.7.3 Release.

Oracle ha liberado para sus clientes una nueva actualización de seguridad de varios de sus productos. Estas actualizaciones de Abril 2017, es una de las cuatro previstas para este año, vienen a solventar múltiples vulnerabilidades (300) encontradas hasta la fecha en diferentes productos de la compañía:

Oracle Database, Oracle Application Server, Oracle Secure Backup, Oracle E-Business Suite, Oracle Java SE, Solaris, Oracle VM VirtualBox, Oracle Financial Services Analytical Applications Infrastructure, etc.

Desde la empresa recomiendan parchear lo antes posible las diferentes versiones afectadas, ya que el aprovechamiento de esos fallos por parte de usuarios malintencionados podría comprometer seriamente la integridad del sistema.

Más información y descarga de actualizaciones.

Se encuentra disponible la píldora formativa 45 del proyecto Thoth, con el título «¿Cómo funciona el hash SHA-1?»

Conforme podemos leer en su web, las siglas SHA corresponden a Algoritmo de Hash Seguro, un algoritmo de resumen propuesto por la NSA y adoptado como estándar federal por el NIST en 1993. Antes de los dos años se detectan vulnerabilidades, por lo que en 1995 proponen un nuevo algoritmo conocido como SHA-1, pasando el anterior a denominarse SHA-0 y no recomendarse su uso. Aunque el diseño de SHA-1 es muy similar al de MD5, entregará un resumen de 160 bits en vez de los 128 de MD5 y su fortaleza es también mayor.

Puede acceder a la documentación en pdf, el podcast en mp3 y los vídeos de estas píldoras y de todas las anteriores, desde la página web del proyecto Thoth:
http://www.criptored.upm.es/thoth/index.php

Se ha publicado la versión 8.2.7 para Drupal considerada de seguridad y mantenimiento que corrige múltiples vulnerabilidades de consideración crítica.

Estas actualizaciones no incluyen ninguna otra novedad, mejora o corrección. Por supuesto se recomienda actualizar a la mayor brevedad posible.

8.2.7: Notas de la versión.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Marzo de 2017.

En esta ocasión, 18 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto, recomendamos actualizar los sistemas a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

Apenas dos semanas después del último update se ha liberado una nueva versión que corrige tres problemas de seguridad (más info).

Se recomienda actualizar a la mayor brevedad posible. Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Info en el trac de WordPress, lista de cambios.

Fuente original.

Tras 10 millones de descargas de la última versión mayor llega este primer update con ocho vulnerabilidades de seguridad, ejecuciones de código remoto, cross-site scripting (XSS), cross-site request forgery (CSRF), entre otras cosas que afectan a todas las versiones anteriores. Esta versión además, al tener la consideración de mantenimiento, corrige 62 errores de la versión anterior.

Se recomienda actualizar a la mayor brevedad posible. Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Info en el trac de WordPress, lista de cambios.

Fuente original.