Daboweb | Seguridad y ayuda informática |

Hoy he visto el exploit en milw0rm y afecta a WordPress versión 2.8.3 y anteriores. No es que realmente sea algo peligroso para vuestros blogs, pero si muy molesto ya que es posible resetear la contraseña del primer usuario creado en WordPress según hemos podido comprobar.

El problema es que si el ataque se hace de una forma automatizada, te obligaría a estar continuamente mirando el correo para ver la nueva contraseña de dicho usuario lo cual como he comentado antes es muy molesto y siempre hay un peligro potencial en estos casos.

¿la solución? podemos encontrarla según me ha comentado Destroyer vía una información de arturogoga.com y como hemos visto funciona. Simplemente hasta que salga una nueva versión que corrija el bug, hay que cambiar la siguiente línea de código.

Buscar en wp-login.php, la línea 190 y cambiar

if ( empty( $key ) )

Por

if ( empty( $key ) || is_array( $key ) )

Después podéis comprobar que estáis a salvo del bug tipeando lo siguiente en vuestro navegador (que hace que se resetee el pasword)

http://nombrededominio.com/wp-login.php?action=rp&key[]=

****************************************************************
EDITADO:

Disponible Actualización versión 2.8.4

****************************************************************

Acaba de lanzarse una nueva versión del navegador Safari de Apple para entornos Windows y Mac OS X.

Según nos cuentan desde Apple esta actualización mejora la estabilidad, la compatibilidad y la seguridad de la aplicación, por lo que se recomienda su instalación a todos los usuarios de Safari. Entre estas mejoras de la versión 4.0.3 destacan las siguientes:

Se ha mejorado la estabilidad de las páginas web que utilizan la etiqueta <video> de HTML 5.
Se ha solucionado un problema que impedía a algunos usuarios conectarse a iWork.com.
Se ha resuelto un problema que provocaba que en ocasiones el contenido web se mostrase en escala de grises en vez de en color.
Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Página de descargas de Safari.

A través del menú «Actualización de software» de vuestros Mac podréis instalar la versión 10.5.8 de Mac OS X que según nos cuentan desde Apple viene con las siguientes mejoras;

La Actualización 10.5.8 incluye correcciones generales del sistema operativo que mejoran la estabilidad, la compatibilidad y la seguridad de su Mac, por lo que se recomienda su instalación a todos los usuarios que utilicen el sistema Mac OS X Leopard. También incluye correcciones específicas para:

Problemas de compatibilidad y estabilidad al acceder a redes AirPort.
Un problema que provocaba que algunas resoluciones no aparecieran en el panel de preferencias Pantallas.
Problemas que podían afectar a la estabilidad de Bluetooth.

Ya está disponible la versión 3.5.2 de Mozilla Firefox, además de varias actualizaciones de seguridad que solventan bugs localizados en el navegador recientemente, también se ha corregido la visualización de imágenes con el perfil ICC incrustado en todos los monitores.

Como siempre, la nueva versión de Firefox se encuentra disponible para Windows, GNU/Linux o Mac OS X y es multi-lenguaje. La lista de problemas de seguridad solucionados es la siguiente;

Bugs solventados en Firefox 3.5.2 (ENG).

MFSA 2009-46 Chrome privilege escalation due to incorrectly cached wrapper
MFSA 2009-45 Crashes with evidence of memory corruption (rv:1.9.1.2/1.9.0.13)
MFSA 2009-44 Location bar and SSL indicator spoofing via window.open() on invalid URL
MFSA 2009-38 Data corruption with SOCKS5 reply containing DNS name longer than 15 characters

Descarga de Firefox 3.5.2 (También desde el propio navegador, menú ayuda) | Más información.

Nueva actualización para WP que viene a corregir, definitivamente (o eso se espera), un fallo que ya había sido corregido en la versión 2.8.1. El fallo solucionado viene a corregir un problema de permisos en el panel de administración mediante el cual usuarios sin privilegios podían realizar algunos cambios no autorizados en el sitio (más info, en inglés).

Actualización muy recomendada. Y como siempre, el Dabo-how-to 😉

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga. Entrada en WP.org.

Saludos y buenas instalaciones/actualizaciones.

Nueva actualización para Joomla!, 1.5.14 de nombre Wojmamni Ama Naiki y que corrige algunos errores de la versión precedente y una actualización de seguridad de nivel bajo.
Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.
Descarga paquete completo 1.5.14.
Anuncio oficial con toda la información.

Nueva actualización para Joomla!, 1.5.13 de nombre Wojmamni Ama Baji y con 26 errores corregidos y dos actualizaciones de seguridad de nivel moderado y una de nivel bajo.

Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.

Descarga actualización.

Descarga paquete completo 1.5.13.

Anuncio oficial con toda la información.

Nueva versión de WordPress que corrige una vulnerabilidad XSS que afectaba a las url’s de los comentaristas en el Panel de Admin (Tablero para los amigos) que hacía posible poder ser redirigido a un tercer sitio web.

Actualización muy recomendada. Y como siempre, el Dabo-how-to 😉

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero (en este momento no sale el aviso) pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

Simon Berry-Byrne, quien descubrió el bug que afectaba a la versión 3.5 (exploit incluido), ha reportado otra vulnerabilidad para la nueva versión 3.5.1 que vio la luz hace unos días y por lo que hemos podido leer, sin solución de momento, el uso de NoScript parece que no lo mitiga por completo.

Mozilla Firefox 3.5.1 es sensible a un ataque remoto por desbordamiento del búfer (unicode data buffer overflow) y la catalogación de «alto riesgo» se la otorga xforce en este caso, las consecuencias podrían ser bien la ejecución arbitraria de código en el sistema afectado o un mal funcionamiento de la aplicación.

Fuente Blog Hispasec| Más info (ENG).

Mozilla acaba de liberar la versión 3.5.1 de Firefox que solventa la grave vulnerabilidad de la que nos hicimos eco hace unos días y que aún habiendo una solución manual, faltaba la versión parcheada del navegador.

Ahora mismo esta versión no está disponible desde la página oficial de Mozilla, si en su FTP, algunos podréis descargar esta versión 3.5.1 Beta también desde el menú «ayuda-buscar actualizaciones», cosa que es más que recomendable si usáis la 3.5 sin parchear o que no tenga corregido manualmente el bug.

Descarga de Firefox 3.5.1 (FTP de Mozilla, buscad vuestro S.O e idioma, es-ES para España)

Notas de la versión 3.5.1 (beta)

Actualización; Un saludo a los cientos de usuarios que están entrado desde la portada de Alerta Antivirus (Inteco), gracias por la reseña;

Muchos usuarios del servicio de alojamiento de imágenes ImageShack, habréis podido ver en lugar de vuestras fotografías, la imagen que ha colocado el grupo Anti-sec sustituyendo a las originales (que no han sido borradas).

Este grupo hace no mucho ya comprometió (y de que modo) la web de Astalavista por su afán mercantilista y ahora dejan su mensaje en ImageShack.

Lo que viene a decir el texto que sale en las imágenes es que están en contra de la industria de seguridad que utiliza la plena divulgación de vulnerabilidades y de los beneficios y el desarrollo de tácticas que se basan en el miedo para convencer a la gente a comprar sus firewalls, software anti-virus, y los servicios de auditoría.

Este es el mensaje en forma de imagen que se ha podido ver durante el ataque;

También se quejan de que los «Scripts Kiddies» (usuarios que se hacen llamar hackers pero con escasos conocimientos de hacking que suelen optar por la vía más fácil) están dispuestos a atacar todos los servidores vulnerables que encuentran en su camino, hablan del dinero y de que si bien el mundo es difícil de cambiar y de que ese dinero seguirá siendo muy importante a los ojos de muchos, ellos presentarán batalla buscando la eliminación completa de lugares de divulgación de exploits con el propósito de ponérselo más difícil a esa industria de la seguridad.

Y que su objetivo es crear el caos y la destrucción de todas las comunidades de explotación de vulnerabilidades que son perjudiciales para los usuarios y empresas y de ese modo, la plena revelación de vulnerabilidades será abandonado y la industria de la seguridad se verá obligado cambiar esa pauta.

También avisan de que si tienes una web o blog que revela este tipo de información serás un objetivo suyo, etc, etc.

Personalmente además de condenar actos como este, he de decir que muchos nos dedicamos a ayudar al usuario frente a esas vulnerabilidades que se publican a diario y que desde luego, la solución no es tapar la boca a nadie ni practicar en este caso la «seguridad por oscuridad» matando a los mensajeros…

Tampoco creo que sea muy buen ejemplo de cara a la comunidad, atacar a un sitio de alojamiento de imágenes, valiéndose de una vulnerabilidad tipo a las que aluden en su queja como es el caso de ImageShack.

Visto en Caborian Foros.

Por David Hernández (Dabo)

Como agua de Mayo (en pleno Julio) y recién salida del horno llega la actualización, la primera, de la última versión estable de WordPress corrigiendo un buen puñado de errores detectados, como aquel dice, según estaban pariendo al niño.

En lo particular hemos de decir que ninguno de los componentes del Team de Daboweb hemos tenido problemas con nuestros blogs personales y este en el que escribo, y que también corre sobre WordPress, tampoco ha habido ningún problema destacable.

En cuanto al mayor problema existente con algunos plugins y los permisos de usuario se ha corregido y se ha añadido un extra en seguridad sobre este tema como novedad, además destaca también la reducción del uso de memoria del Tablero y más cosas que puedes ver aquí.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

Concretamente y según podemos leer en la lista de correo de seguridad de Apple, la versión 4.0.2 de Safari (para Mac OS X y Windows), solventa varios bugs,  a saber; posibles ataques vía cross-site scripting visitando un sitio web manipulado para ese fin, errores de corrupciones de memoria en su motor Webkit o también la ejecución arbitraria de código visitando uno de esos sites.

Sin embargo, Apple vía el menú «Actualización de software» nos habla de;

Esta actualización mejora la estabilidad del motor Nitro JavaScript e incluye las actualizaciones de seguridad y compatibilidad más recientes, por lo que se recomienda su instalación a todos los usuarios de Safari.

Los errores corregidos son de importancia y os aconsejamos actualizar Safari a la mayor brevedad posible.

Descarga de Safari 4.0.2 para Mac OS X y Windows.

En estos momentos, muchos nos preguntamos si el mensaje que ha dejado en la cabecera de la web str0ke, su responsable, es lo que parece ser (el cierre de Milw0rm) o si quizás haya alguien que quede al frente del proyecto (me da que no, aunque yo no descartaría una posible venta).

Este es sin duda uno de los sitios referentes en cuanto a la publicación de exploits y el hacking en general.

El mensaje que se puede ver en la cabecera de Milw0rm ahora mismo;

Well, this is my goodbye header for milw0rm. I wish I had the time I did in the past to post exploits, I just don’t :(. For the past 3 months I have actually done a pretty crappy job of getting peoples work out fast enough to be proud of, 0 to 72 hours (taking off weekends) isn’t fair to the authors on this site. I appreciate and thank everyone for their support in the past.
Be safe, /str0ke

Resumiendo, viene a decir que es la cabecera de su adios para Milw0rm y que ojalá tuviera el tiempo que tenía antes para seguir publicando exploits y que está muy orgulloso del trabajo hecho por los colaboradores del sitio, pero que no le parece justo seguir así porque el no puede. Da también las gracias a todos por su apoyo en el pasado.

La escena más underground pierde a uno de sus más irreverentes protagonistas, una fuente de consulta de la que muchos nos nutríamos antes visitándola diariamente y de un tiempo a esta parte vía RSS. Si es un punto y final como parece ser, muchas gracias por tanta IN-seguridad -;).

Visto en Liquidmatrix.

Por David Hernández (Dabo)

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y varias vulnerabilidades de seguridad críticas de riesgo moderado; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Desde la web de Drupal recomiendan instalar la nueva versión en lugar de utilizar el parche ya que estos no corrigen todos los bugs solucionados, solamente las vulnerabilidades críticas. Del mismo modo se informa de que esta nueva actualización no pisa los archivos .htaccess, robots.txt y settings.php (el que va por defecto) como venía siendo habitual en las últimas versiones/actualizaciones; aún así desde aquí recomendamos hacer copia de estos archivos, de la base de datos y de cualquier archivo importante por lo que pudiera pasar.

• Anuncio oficial.
• Descarga versión 6.13
• Descarga versión 5.19
• Parche versión 6.12
• Parche versión 5.18