Desde phpt.net anuncian la disponibilidad de la versión 5.2.9 que viene a solventar unas 50 vulnerabilidades encontradas en la rama 5.2.x.
Algunas de ellas están catalogadas como «severas», por lo que conviene actualizar a la mayor brevedad posible tal y como informan en el anuncio de la release.
Los fallos más notables solucionados son los siguientes;
Fixed security issue in imagerotate(), background colour isn’t validated correctly with a non truecolour image. Reported by Hamid Ebadi, APA Laboratory (Fixes CVE-2008-5498). (Scott)
Fixed a crash on extract in zip when files or directories entry names contain a relative path. (Pierre)
Fixed explode() behavior with empty string to respect negative limit. (Shire)
Fixed a segfault when malformed string is passed to json_decode(). (Scott)
A continuación os ofrecemos un listado con las entradas publicadas este pasado mes de Febrero por si alguna no la habéis leido en su momento.
Os recordamos que tenemos habilitado un foro para comentar estas noticias y que para cualquier otra consulta informática, estaremos encantados de intentar echaros una mano en la medida que nos sea posible ya dentro de nuestros foros temáticos.
Posted by Liamnglson febrero 26, 2009 Webmaster /
Comentarios desactivados en Drupal, actualizaciones de seguridad, versiones 6.10 y 5.16
Nuevas versiones para el popular, y potente, gestor de contenidos (CMS), Drupal.
Estas nuevas versiones no incluyen ninguna novedad y han sido lanzadas con la única finalidad de corregir problemas de seguridad calificados como críticos.
La actualización es altamente recomendada y es necesario correr el archivo update.php después de hacerlo para refrescar la caché del menú y cualquier otro tipo de caché existente en el sistema; la actualización no afecta a los archivos .htaccess y robots.txt (cualquier actualización sobre estos tendría que ser posterior y a mano) ni a los archivos settings.php (por defecto).
Existe un parche para las versiones anteriores a esta nueva actualización, la 6.9 y la 5.15 (el parche no es válido para versiones anteriores a estas).
Posted by Daboon febrero 22, 2009 Seguridad Informática /
Comentarios desactivados en Servicios web y ataques a las cuenta de usuario ¿tanto cuesta avisar?
Esta entrada viene a raíz del robo de cuentas sufrido por Christian Van Der Henst, administrador de Maestros del web y Foros del web, caso felizmente resuelto y del que nos hicimos eco en Daboweb, (No hay de que -;) al igual que desde muchos otros blogs y comunidades.
Hace unos días, en una conversación vía Skype con Kids de Blogoff, cuando el se encontraba preparando su podcast de rabiosa actualidad con Christian como protagonista (os lo recomiendo), yo le decía que no acaba de entender el por qué de no avisar al usuario de cuando su cuenta (de correo, panel web, facebook, twitter, etc, etc como le sucedió a Christian) estaba siendo víctima de un ataque o cuando se cambia una contraseña.
Por ataque me pueden servir los que se realizan por fuerza bruta (intentos masivos de crackeo/adivinación de la contraseña del usuario) o de otro modo, con la peligrosa opción de “olvidé mi contraseña” y la consiguiente pregunta para recuperarla, uno de los males de la seguridad más explotados y que siguen dando sus devastadores frutos todos los días por ataques de ingeniería social (a través del conocimiento de los usos, costumbres y detalles personales de la víctima)
Está claro que la responsabilidad final de la seguridad de un servicio ofrecido vía web es principalmente del usuario, (sobre este punto habría mucho que «puntualizar» llegado el caso) pero estaréis de acuerdo conmigo en que no cuesta nada que por parte del prestador del servicio faciliten las cosas. Un caso que técnicamente cuesta bien poco implementar pero muy efectivo y que ha sido aplaudido por todos, es la política de Gmail de mostrar en el pie de página la dirección IP de la última conexión al correo, tan sencillo como leerlo de logs de acceso y meter el “refer” al final de la página ¿coste? cero.
Lo que me cuesta más entender es que en muchos de esos servicios (gmail o hotmail por ejemplo), te inviten a dejar una dirección de correo secundaria en tu perfil y no se valgan de esa segunda dirección para enviar un aviso en el caso de que estén intentando reventarte la cuenta legítima, porque cuesta lo mismo impedir el acceso de forma temporal caso de hotmail a la recuperación de una cuenta tras varios intentos fallidos que leer en la base de datos esos intentos y llegado a un número enviar un mail avisando.
Muchas veces hemos hablado de las contraseñas seguras y su importancia,(lo escribí hace 4 años) del uso de programas como Keepass o Colossus, de como trabajar de forma remota con seguridad, también de no usar una sola cuenta o la principal y pública para administrar sitios web, información sensible, etc, etc, pero creo que también es momento de compartir la responsabilidad con el usuario del aseguramiento de una cuenta ya que el coste es mínimo y para ese usuario, un mail que incluya la IP desde la que se produjo el error de acceso, vital en esos momentos en los que se está llevando a cabo el ataque y a posteriori para depurar responsabilidades.
Muchos de esos servicios no deberían preocuparse sólo por sus anunciantes, monopolios, cuotas de mercado e impresiones de página, sino también por esos usuarios que son los que se tragan sus cookies, publicidad en ocasiones abusiva y condiciones de uso (y desuso).
Actualización a las 21,30 h, los dominios han sido recuperados por su legítimo propietario, vaya desde aquí nuestra más sincera enhorabuena -;). (Mensaje en Maestros del Web) (En Twitter).
Este pasado fin de semana, a Christian Van Der Henst, fundador y responsable de Maestros del Web y Foros del Web (actualmente cerrados bajo el título de “en mantenimiento”) le robaron toda su identidad electrónica y con ello, esos dos dominios que ya no están bajo su control.
Imagino que el ataque fue hacia su cuenta de correo electrónico principal, para acto seguido, mediante la “generosa” (cuando te hace falta) y peligrosa (en manos de terceros) opción de “olvidé mi contraseña”, hacerse control de sus dominios, cuenta de FaceBook, otros mails, etc, etc.
Más allá de la reflexión a la que nos puede llevar un hecho así y la inoportunidad de usar el mismo correo administrativo en todas los servicios que uses, registros web, etc, etc, en nombre de Daboweb queríamos mostrar todo nuestro apoyo y solidaridad para con Christian Van Der Henst y toda la comunidad de usuarios que está detrás de forosdelweb.com y maestrosdelweb.com.
Esperamos que el agente registrador, GoDaddy en este caso, atienda a sus peticiones y muchas otras que les están llegando de usuarios y webs amigas de los sitios de Christian y le deje a su responsable demostrar que esos dominios son suyos ya que se trata de un robo en toda regla.
Si quieres ayudar a estas dos comunidadescon la difusión de este caso, puedes informarte aqui;
Se han reportado varias vulnerabilidades en el navegador Safari de Apple que afectan a sistemas Windows Vista y XP.
Ya está disponible la versión 3.2.2 de Safari que solventa dichos bugs desde el actualizador de software de Apple así como del sitio de descargas del navegador.
Estos fallos (ejecución de código arbitrario en feeds / RSS manipulados o Javascript embebidos en los mismos) no afectan a sistemas Mac OS X con el Security Update 2009-001 instalado (publicados los detalles del mismo en Daboweb hace unas horas).
Está ya disponible vía el menú «Actualizacion de software» de vuestros Mac la revisión de seguridad 2009-1 para Mac OS X 10.5.6 y 10.4.11 versiones de escritorio y server.
Dado los fallos que esta actualización de seguridad soluciona, es recomendable su instalación inmediata para estar protegidos ante una posible explotación de los mismos.
Concretamente, se han corregido los siguientes componentes vulnerables del sistema;
También se han liberado sendas actuaciones de Java para las mismas distribuciones que solventan vulnerabilidades en Java Web Start y Java Plug-in que podrían ser sensibles a ataques vía webs especialmente manipuladas para tal fin.
Se ha reportado una vulnerabilidad catalogada como de alto riesgopor Secunia en el software BlackBerry Aplication Web Loader, un cargador de aplicaciones web que viene instalado en dispositivos BlackBerry y que usa la tecnología Microsoft® ActiveX® para la instalación de aplicaciones vía web.
Este bug puede ser aprovechado para, a través de una página web manipulada para tal fin, engañar al usuario y romper la seguridad del dispositivo mediante un desbordamiento del buffer que llevaría a la ejecución de código arbitrario en la BlackBerry. El error se da en AxLoader.ocx or AxLoader.dll.
La solución pasa poractualizar el software a la versión 1.1 (en su sección de desarrollo, descarga bajo registro previo hasta que publiquen una actualización de su software de escritorio).
El popular gestor de foros ha lanzado una nueva actualización, la 1.1.8., que viene a solventar algunos errores encontrados en la versión anterior. Se recomienda actualizar lo antes posible a esta nueva versión.
Además, en el tema del anuncio, informan de que han lanzado una nueva versión de la rama de desarrollo 2, la 2.0 RC1 y que se puede actualizar igualmente a esta nueva versión, eso sí recordar que es una versión no estable y que no es recomendable ponerla en producción.
Los usuarios de la versión 1.0.x deben actualizar a la versión 1.0.16. Se puede actualizar a través del panel de administración o vía FTP, esta nueva versión podría dar problemas actualizando desde el panel y entonces sí o sí habría que hacerlo manualmente. Os copio una pequeña guía escrita por Dabo para actualizar sin problemas:
Tutorial para actualizar foros SMF (by Dabo).
1– Ponéis el foro en mantenimiento y el idioma en Inglés (si no, os dará fallo).
Han sidovíctimas de un ataque a causa de una instalación del software de gestión y envío de listas de correo PHPlist sin actualizar y del que según puedo leer, el día 29 se anunció una vulnerabilidad que podía llevar a un acceso al sistema comprometido.
La gente de phpBB está trabajando duro para poder restablecer el servicio normal de descarga y soporte y mientras lo solventan,han habilitado una zona para las descargas de phpBB (aseguran que el software está exento de cualquier problema) y otra zonapara dar soporte vía foro hasta que puedan arreglarlo.
En un hilo de ese foro, se puede leer (en Inglés) como los atacantes accedieron a todas direcciones de correo de usuarios de la lista de PHPlist, para después realizar un ataque sobre la base de datos de phpBB.com y conseguir volcar la tabla de usuarios registrados. Tanto los datos de la lista de correo con todos los mails de suscriptores, como la tabla de la base de datos de los usuarios registrados fueron sustraidos.
Esto plantea un problema de seguridad a los usuarios registrados en phpBB.com y recomiendan cambiar sus passwords rápidamente si usaban el mismo en otros sistemas de foros (y más si cabe con el mismo nick). También comentan que uno de los motivos de haber dejado de dar soporte a la rama 2.0.x de phpBB es los hashes de las contraseñas no son tan potentes como los de la versión 3.0.x y que si el usuario se había registrado en phpBB.com cuando estaba en la versión 2.0x y no había entrado cuando ya estaban bajo la 3.0x, ese hash conserva el formato antiguo siendo más débil frente a un ataque que, precisamente, se ha centrado en capturar esas cuentas de usuario creadas bajo phpBB 2.0x.
Llegan unas fechas muy señaladas con la celebración del día de los enamorados, San Valentín y/o Día del amigo en muchos países el próximo día 14 de Febrero. Una situación propicia para el envío y recepción en nuestras cuentas de correo electrónico de multitud de Postales de felicitación virtuales.
Pero ojo, no siempre obedecen a intereses legítimos y en muchas ocasiones, más de las deseables, este tipo de felicitaciones o tarjetas electrónicas suponen un riesgo añadido a la seguridad de nuestros equipos, al contener algún tipo de malware, bien sea desde la descarga de archivos adjuntos, o a través de webs manipuladas a las que nos dirigen al pulsar en un enlace desde el que se supone deberíamos visionar la tarjeta.
Como siempre, desde daboweb os recomendamos prudencia, extremar las precauciones a la hora de acceder a este tipo de mensajes, confirmar el remitente del mismo, idioma, asunto, etc., y ante la duda; lo mejor ignorarlos.
Posted by Destroyeron enero 21, 2009 Programas /
Comentarios desactivados en Nuevo antiespías gratuito Ad-Aware, interesantes mejoras
Se encuentra disponible para su descarga e instalación la nueva versión del ya conocido programa antispyware gratuito Ad-Aware, denominada Anniversary Edition para los sistemas Windows XP, Windows 2000, Windows Server 2003, y Windows Vista 32 bits.
Esta nueva actualización del programa presenta importantes novedades respecto a las versiones anteriores, entre otras cabe destacar:
Nueva interfaz de empleo.
Mejora en el consumo de recursos y tiempos de escaneo.
Nuevo scanner de disco en red.
Escaner de Pin-Point.
Completa integración con Windows Security Center.
Actualizaciones automáticas, etc.
Interesante sin duda es la protección en tiempo real integrada en el módulo Ad-Watch Live! Basic. Una protección integrada de procesos en tiempo real que bloquea los procesos dañinos y los programas infectados que intentan iniciarse o ejecutarse en el sistema, para impedir que se integren en el sistema como spyware, troyanos, rootkits, piratas informáticos, keyloggers, etc.
Posted by Liamnglson enero 15, 2009 Webmaster /
Comentarios desactivados en Drupal, actualizaciones de seguridad, versiones 6.9 y 5.15
Nuevas versiones para el popular, y potente, gestor de contenidos (CMS), Drupal.
Estas nuevas versiones no incluyen ninguna novedad y han sido lanzadas con la única finalidad de corregir problemas de seguridad calificados como moderadamente críticos.
La actualización es altamente recomendada (vamos, porque no te pueden obligar a actualizar) y es necesario correr el archivo update.php después de hacerlo para refrescar la caché del menú y cualquier otro tipo de caché existente en el sistema; la actualización no afecta a los archivos .htaccess y robots.txt (cualquier actualización sobre estos tendría que ser posterior y a mano).
Todas las versiones anteriores a las 6.8 y 5.14 (incluidas estas) se ven afectadas.
Existe un parche para las versiones anteriores a esta nueva actualización, la 6.8 y la 5.14 (el parche no es válido para versiones anteriores a estas).
La activa comunidad que mantiene y desarrolla el popular CMS Joomla! ha anunciado la disponibilidad de una nueva versión de su software.
Esta entrega de Joomla! se etiqueta con el número 1.5.9 y ha sido bautizada como «Vatani». Dicha release contiene según se puede leer en el post del lanzamiento81 errores corregidos, entre ellos dos que afectan a la seguridad del CMS catalogados con prioridad alta y prioridad baja.
Posted by Daboon diciembre 30, 2008 Seguridad Informática /
Comentarios desactivados en Los riesgos del teletrabajo, 5 formas de hacerlo más seguro
En tiempos de crisis, las empresas ven en el teletrabajo una forma rápida de ahorrar costes y con ello los riesgos para su seguridad aumentan. La consultora Ernst & Young en un reciente estudio afirma que esos beneficios pueden ser superados por las pérdidas ocasionadas por unas malas prácticas respecto a la seguridad de la información.
Realmente, todo esto puede sonar un tanto antiguo como bien aclara Scott en Security Views(fuente) porque llevamos muchos años hablando de lo mismo en Daboweb. Pero no está de más recordarlo y he querido traducirlo ya que por mucho que hablemos de estos temas, nunca es suficiente y si tienes una empresa en la que algunos empleados trabajan remotamente a través de una intranet corporativa o si tu mismo eres uno de ellos, deberías tener en cuenta estos aspectos.
5 formas de fomentar un teletrabajo más seguro;
1 – Antivirus, antispyware y políticas de filtrado a través de Firewalls. Como todos sabemos, ciertos virus que entran en los ordenadores personales que tienen en su hogar esos empleados, pueden llegar a propagarse fácilmente a través de las redes corporativas infectando a otros trabajadores y en algunos casos a los servidores de la empresa. Las empresas deberían preocuparse de dotar a sus empleados de buenas soluciones contra el malware y proporcionar medios eficientes de filtrado (bien por software, hardware o una combinación de ambos) así como de proporcionar regularmente las últimas versiones y parches del sistema operativo que usen.
2- Instalación de software y políticas de actualización. Se hace una llamada de atención a los potenciales riesgos del mal uso de programas P2P a través de los cuales puedan romper la seguridad de esos equipos (y aclaro, de uso totalmente legal por mucho que alguno quiera hacernos ver otra cosa-;) y también se habla del software no actualizado y los peligros que conlleva aconsejando el uso por ejemplo de Secunia PSI (sólo para Windows) para detectar ese software desfasado y ayudar a que esos empleados trabajen en entornos más seguros.
3- Otro tema a tener en cuenta es la política de acceso a redes inalámbricas desde el hogar de esos empleados. Si no se accede a Internet con unas mínimas medidas de seguridad por esas redes Wi-fi, la información que viaja por la red puede ser sensible a ser capturada por técnicas de «sniffing» quedando expuesto contenido sensible así como contraseñas y datos personales del usuario. (Sobre este punto y para realizar una traducción más completa, añado que es muy importante que el correo electrónico vaya cifrado bajo SSL o similar aunque se podría añadir tanto que haría esta entrada interminable-;).
4- Papel, medios de almacenamiento y políticas de eliminación. Los usuarios deberían estar obligados a realizar un seguimiento de los medios de comunicación electrónicos y en papel, se recomienda el uso de destructoras de papel (de costes ahora más reducidos) para mantener la información corporativa sensible a salvo de algunos que buscan «hasta en la basura» (que por cierto sigue siendo una técnica tan usada como efectiva para obtener información). Se hace una llamada de atención al almacenamiento de documentos, disquetes o CD’s, los cuales deben ser colocados en recipientes o gabinetes bajo llave. (Añado también que la información que contienen los discos duros debería estar protegida mediante cifrado o bajo el uso de unidades externas por ejemplo con protección por huella dactilar).
5- Para acabar, recordar que por mucho que se apliquen todas las medidas posibles y políticas de seguridad para evitar sufrir pérdidas y accesos no deseados a esa información, una «navegación responsable» es la mejor compañera así como el uso de sentido común. Añado también que la formación en la empresa sobre buenas prácticas de seguridad es fundamental, así como una actitud responsable de los empleados del uso de los sistemas corporativos no olvidando que en manos de todos, está reducir ese 90 % de Spam que acompaña a todo el correo electrónico que circula por la red. También y por básico que parezca, añado que el cambio frecuente y uso de contraseñas seguras es la primera medida a tener en cuenta. (Eso y…no dejarlas pegadas en un papel en la pantalla-;).
Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)
Ver
Desde phpt.net anuncian la disponibilidad de la versión 5.2.9 que viene a solventar unas 50 vulnerabilidades encontradas en la rama 5.2.x.
¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias
A continuación os ofrecemos un listado con las entradas publicadas este pasado mes de Febrero por si alguna no la habéis leido en su momento.
Nuevas versiones para el popular, y potente, gestor de contenidos (CMS), Drupal.
Se encuentra disponible para su descarga e instalación la nueva versión del ya conocido programa antispyware gratuito Ad-Aware, denominada Anniversary Edition para los sistemas Windows XP, Windows 2000, Windows Server 2003, y Windows Vista 32 bits.
