Daboweb | Seguridad y ayuda informática |

Está disponible desde el repositorio de WordPress o desde vuestro panel de administración, la versión 4.2.4 de WordPress catalogada como actualización de seguridad y de mantenimiento. Tal y como informan desde WordPress, se han solventado seis problemas; tres de ellos de tipo XSS y una potencial inyección de código SQL que se podría usar para comprometer un sitio web. Además esta nueva actualización soluciona otros cuatro errores.

Se recomienda actualizar a la mayor brevedad posible. Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Info en el trac de Wordpres, lista de cambios.

Está disponible desde el repositorio de WordPress o desde vuestro panel de administración, la versión 4.2.3 de WordPress catalogada como actualización crítica de seguridad y de mantenimiento. Tal y como informan desde WordPress, se ha solventado principalmente una vulnerabilidad crítica de tipo XSS y otra mediante la cual un usuario de tipo suscriptor podría escalar privilegios desde el dashboard para publicar una entrada. Se han corregido además 20 bugs de las versiones precedentes.

Se recomienda actualizar a la mayor brevedad posible. Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Info en el trac de Wordpres, lista de cambios.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Julio de 2015.

En esta ocasión, 14 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto, recomendamos actualizar los sistemas a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

El equipo de Joomla! ha lanzado una nueva actualización en la rama 3 que contiene dos actualizaciones de seguridad clasificadas como de nivel bajo.

Además corrige cerca de 260 errores y se recomienda, como siempre, actualizar a la mayor brevedad posible.

Anuncio oficial: 3.4.2. Descarga paquete completo. Descarga paquete de actualización.

Tal y como podemos leer en el sitio web de Drupal, se han publicado dos nuevas versiones de su CMS catalogadas como actualizaciones de seguridad. Ambas versiones comparten varios fallos de seguridad catalogados como críticos.

Se recomienda actualizar a la mayor brevedad.

Noticia oficial | Detalles 7.38.

Se acaba de publicar una versión catalogada como de seguridad y mantenimiento para la rama 3.1 del popular sistema de foros phpBB.

Esta actualización soluciona varios problemas de seguridad, corrige errores varios y añade alguna funcionalidad nueva. Desde el anuncio oficial se informa de que podría haber problemas desde la actualización automática ante lo cual se recomienda utilizar un nuevo archivo; el problema se produce en aquellas instalaciones que han hecho cambios en el archivo includes/acp/acp_prune.php; si se desea más información sobre el tema pasarse por aquí.
Desde la web recomiendan actualizar a la mayor brevedad.

Noticia original (eng). Descarga 3.1.5.

Nos hacemos eco del lanzamiento de la versión 5.6.10, la versión 5.5.26 y la versión 5.4.42 de PHP.

Estas nuevas versiones de cada rama solventan varios bugs y vulnerabilidades que corrigen fallos tanto en el núcleo como en sus componentes, por lo que se recomienda actualizar las versiones anteriores.

Notas sobre los cambios.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Junio de 2015.

En esta ocasión, 8 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto, recomendamos actualizar los sistemas a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

Una vez más, nos hacemos eco de la publicación de un nuevo curso en el MOOC (Massive Open Online Course) de Crypt4you.

En esta ocasión se trata del Curso de Criptografía con curvas elípticas, compuesto por cuatro lecciones y que en su primera lección trata «Criptosistemas basados en el problema del logaritmo discreto».

Conforme podemos leer en la publicación oficial:

En las últimas décadas, la criptografía con curvas elípticas ha adquirido una creciente importancia, llegando a formar parte de los estándares industriales. Su principal logro se ha conseguido en los criptosistemas basados en el problema del logaritmo discreto, como los de tipo ElGamal. Estos criptosistemas planteados en el grupo de puntos de una curva elíptica garantizan la misma seguridad que los construidos sobre el grupo multiplicativo de un cuerpo finito, pero con longitudes de clave mucho menores.

En esta primera lección mostraremos el funcionamiento del criptosistema ElGamal elíptico: generación de claves y algoritmos de cifrado y descifrado. También veremos una de sus variantes más utilizadas, el cifrado ECIES, así como el algoritmo ECDSA de firma digital.

Acceder a la primera lección.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Mayo de 2015.

En esta ocasión, 13 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios, denegación de servicio, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto, recomendamos actualizar los sistemas a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

Han sido liberadas sendas actualizaciones para la rama 3.0.x y 3.1.x de los foros phpBB consideradas como de seguridad y de mantenimiento ya que solucionan un problema menor de seguridad y corrige algunos errores previos. La versión 3.1.4 añade, además, nuevos eventos que actúan como puntos de entrada para extensiones para modificar el comportamiento de phpBB.

Gracias a Mathias Karlsson (avlidienbrunn) por comunicarnos el problema de seguridad. Una comprobación insuficiente permitía a los usuarios del navegador de Google Chrome ser redirigidos a dominios externos (por ejemplo, en el inicio de sesión) cuando se le proporciona una URL maliciosa de un tercero. Esto ya no es posible en 3.0.14 y 3.1.4.

Desde la web recomiendan actualizar a la mayor brevedad.

Noticia original (eng). Descarga 3.1.4. Descarga 3.0.14.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Abril de 2015.

En esta ocasión, 11 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios, denegación de servicio, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto, recomendamos actualizar los sistemas a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

Apple ha puesto a disposición de los usuarios las versiones 8.0.5, 7.1.5 y 6.2.5 de su navegador Safari. Están disponibles desde la Mac App Store y para OS X Mountain Lion 10.8.5, Mavericks 10.9.5 y Yosemite 10.10.2.

Solventan bugs relacionados con la navegación privada y el historial que se almacena en el navegador, el borrado del historial, su motor Webkit, certificados, etc.

A continuación, la información técnica que proporciona Apple:

Continue reading…

Acaba de salir una nueva actualización para las ramas estables de Drupal que incluye correcciones de seguridad (más info). Una parte del error afecta a la creación de un enlace de recuperación de contraseña que podría ser falsificado para hacerse con el control de la cuenta de un usuario, un problema catalogado como moderado y que afecta en mayor medida a la rama 6.

Estas actualizaciones no incluyen ninguna otra novedad, ni de mantenimiento, corrección de errores, etc …

Noticia oficial | Detalles 7.35 | Detalles 6.35.

Al igual que nuestros colegas de Security By Default o Flu Project, nos hacemos eco del llamamiento por parte de la organización del congreso de seguridad QurtubaCON en busca de patrocinio para este evento gratuito que se celebrará los días 10 y 11 de abril en Córdoba.

Un Congreso avalado por los organizadores de los exitosos «Hack & Beers» y gente con reconocido prestigio en el sector de la seguridad como son Miguel Arroyo, Eduardo Sánchez, Enrique Palacios y María José Montes.

Allí estará entre otros participantes, nuestro compañero Dabo impartiendo un taller sobre seguridad en servidores GLAMP junto a esta lista de ponentes: Juan Garrido, Daniel Medianero, Ángel Pablo Avilés, Óscar de la Cruz, Juan Antonio Calles, Pablo González, Jorge Corona, Lorenzo Martínez, Ruth Sala, Miriam García y Susana González.

Os podéis imaginar hoy en día lo que supone poner en marcha algo así y los recursos que hacen falta para afrontarlo con garantías (gastos de viaje, alojamiento y manutención, un dato, ninguno de los ponentes cobra por asistir). Creemos que estas iniciativas son muy necesarias en pro de acercar el mundo de la seguridad a zonas del País en las que no es habitual ver congresos como este, por lo que os animamos a colaborar con alguna de las (económicas) opciones de patrocinio existentes.

Gracias por adelantado y suerte con el Congreso