Daboweb | Seguridad y ayuda informática |

Desde la lista de correo «Apple Security«, nos llega el aviso de una actualización de seguridad para OS X Server (v2.1.1).  Esta nueva versión solventa varias vulnerabilidades en PostgresSQL, siendo la de más impacto una que permitiría a usuarios de las bases de datos acceder a ficheros del sistema con privilegios elevados.

También Jabber recibe una actualización para solventar posibles fugas de información en relación con otros servers mejorando la gestión de mensajes. El update está disponible desde el menú «Actualización de Software». Os recomendamos aplicar las correcciones con brevedad, más info sobre estas cuestiones de seguridad en Apple Security Updates.

Según podemos leer en el sitio web de Joomla, se acaba de liberar una nueva versión (2.5.7) del popular CMS. Esta release viene a solventar dos vulnerabilidades, (en el «core» del CMS, en concreto dos XSS, [20120901] – [20120902], así como otros fallos localizados en el software.

A pesar de que están catalogados como «de prioridad baja», se recomienda actualizar a la mayor brevedad posible.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Septiembre de 2012.

En esta ocasión, se compone de 2 actualizaciones de seguridad catalogadas como importantes, que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la elevación de privilegios, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de actualizaciones de Septiembre de 2012.

Según podemos leer en el blog de Adobe destinado a cuestiones de seguridad (ENG), se han publicado como actualizaciones de seguridad, nuevas versiones del reproductor Flash Player para sistemas Windows, GNU/Linux, Mac OS X y Android (también para «AIR»).

Estos parches de seguridad, solventan varios bugs localizados en el software, siendo por tanto más que recomendable su inmediata actualización ya que bajo determinadas circunstancias, su explotación podría derivar en un fallo del sistema, pudiendo hacerse con su control por parte de potenciales atacantes.

Más información y versiones afectadas, (ENG) | Centro de descarga de Adobe Flash Player.

Como todos los meses, os recordamos que ya se ha publicado por parte de Microsoft las actualizaciones o boletines de seguridad habituales, en este caso, para Julio de 2012.

En esta ocasión, se compone de 9 boletines que solventan 16 vulnerabilidades; 3 catalogadas como críticas, (más información en INTECO) afectando principalmente  a XML Core Services, Internet Explorer y Data Access Components .

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Debido al impacto sobre el sistema, os recomendamos actualizar los sistemas a la mayor brevedad posible. (Afecta a Windows 7, Vista, XP, 2003 y 2008 Server, MS Office, etc).

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de las actualizaciones de Julio de 2012.

En medio de la «resaca mediática» generada por la keynote de ayer en la que Apple presentó sus novedades en cuanto a hardware y software, desde la lista de correo «Apple Security» nos llega un aviso de actualización de seguridad para iTunes que en su versión 10.6.3, solventa dos vulnerabilidades (Mac OS X, Windows XP, Vista y 7).

Concretamente, se trata de la posibilidad sufrir un desbordamiento del búfer en listas de reproducción .m3u debidamente manipuladas para tal fin y un error de corrupción de memoria en Webkit. Se recomienda actualizar bien desde el menú «actualización de software» en Mac OS, o desde el sitio web de iTunes.

De dos en dos, como los donuts, así nos vienen las actualizaciones últimamente para los CMS y Joomla! con dos ramas estables en producción no podría ser menos con dos actualizaciones de seguridad para las ramas 2.5 y 1.7. La rama 2.5 corrige dos problemas de seguridad catalogados de prioridad baja (Low Priority – Core – Information Disclosure 1,2), ambos bugs podrían comprometer la administración del sitio. En la rama 1.7 se corrigen así mismo los dos bugs anteriores y un tercero tambień de  prioridad baja (Low Priority – Core – Information Disclosure 3) por el cual un usuario no autorizado podría acceder al registro de errores en el servidor.

La versión 2.5.1 corrige además 30 errores reportados, mejoras que no han sido incorporadas (o eso parece al menos) en la rama 1.7 de la que os recordamos que termina el día 24 de este mes y que si no has upgradeado ya tu sitio a la versión 2.5.x ya estás tardando en hacerlo antes de que te pille el toro.

Anuncio oficial (1.7.5) | Anuncio oficial (2.5.1).

Dos nuevas actualizaciones para Joomla!, concretamente la versión 1.7.4 de la rama 1.7 (obvio) y la versión 2.5, ambas catalogadas como de seguridad por el equipo de desarrollo. Ésta última contiene 26 nuevas características, 4 problemas de seguridad corregidos y otros 356 no catalogados como de seguridad, de los importantes dos han sido catalogados de prioridad baja (Low Priority – Core – Information Disclosure 1,2)y los otros dos de prioridad media (Medium Priority – Core – XSS Vulnerability 1, 2)

La rama 1.7.4 corrige esos mismos cuatro problemas de seguridad, en cualquier caso es importante actualizar. Además se informa que la rama 1.7 finalizará dentro de un mes, el 24 de Febrero de 2012 y se recomienda migrar ya a la versión 2.5 que está asignada como LTS y ofrece al menos 18 meses de soporte.

Al mismo tiempo se ha publicado un anuncio oficial sobre la versión 2.5 recalcando algunos aspectos nuevos como la notificación automática de actualizaciones, tanto del núcleo como de extensiones, la búsqueda avanzada y compatibilidad con Microsoft SQL Server.

Anuncio oficial (1.7.4) | Anuncio oficial (2.5). | Noticia sobre novedades.

A través de Hispasec nos hacemos eco de las vulnerabilidades remotas localizadas en el contenedor de servlets Apache Tomcat, desarrollado por la Apache Software Foundation, las cuales han sido consideradas como de importancia por sus mantenedores, con lo que se recomienda a aquellos administradores que lo usen en su servidor procedan a comprobar si su versión de Tomcat es una de las afectadas. En concreto se trata de los siguientes fallos:

•  Denegación de servicio remota  relacionada con las colisiones en las tablas hash. Las versiones afectadas son la 5, 6 y 7
•  Revelación de información sensible debido a un error en el reciclado de objetos que podría volver visibles datos como IPs remotas o cabeceras HTTP a través de peticiones especialmente manipuladas. Las versiones afectadas son la 6 y 7.

Más información y solución en Hispasec

Se nos han escapado varias actualizaciones de Joomla! por diversos motivos, de hecho esta última actualización fué liberada el pasado día 14 y todavía ahora nos estamos haciendo eco de la misma. En principio y al menos en mi caso el RSS no funciona muy bien y no termino de recibir las actualizaciones con cierta normalidad, de hecho en esta última me han aparecido cinco versiones nuevas (tres de la rama 1.7 y dos de la 1.5).

Cómo sea la 1.5.25 viene con un problema de seguridad de nivel alto, un agujero de seguridad en la petición de cambio de la contraseña que debido a una generación de contraseñas débiles permiten cambiar las mismas de los usuarios en medio del proceso.

En la rama 1.7 encontramos el mismo problema, que además afecta a todas las versiones 1.6.x y otra vulnerabilidad de prioridad media.

Anuncio oficial (1.7.3) | Anuncio oficial (1.5.25).

Se ha liberado por parte de la comunidad de desarrolladores de BIND, la versión BIND 9.8.1-P1 que solventa una vulnerabilidad seria que afecta al conocido servidor DNS y que según podemos leer en ISC, resuelve fallos en su funcionamiento a través de ciertas peticiones y el registro o log de errores en «query.c».

Descarga | lista de cambios.  (También están disponibles los parches en los «sources» de Debian).

Se ha reportado por parte de Norman Hipper una vulnerabilidad catalogada como «seria« por el equipo de phpMyAdmin que afecta a versiones desde la 3.3.0 a la 3.4.3.2 (CVE-2011-3181).

La explotación del XSS vía un ataque «cross-site scripting«, puede hacer posible que un atacante remoto consiga conectarse al popular gestor de bases de datos Open Source con el peligro que ello conlleva.  Para paliarlo, se recomienda encarecidamente actualizar el software a las versiones 3.3.10.4 or 3.4.4 o aplicar los parches que se han puesto a disposición de los usuarios.

Más información y parches; en phpMyAdmin | The H Security.

Visto en; UnixenMac

Pocos días después de su lanzamiento Apple pone a disposición de los usuarios a través de la funcionalidad «Actualización de software» la versión 10.7.1 de OS X.

Esta actualización solventa los siguientes errores;

Mejora la conectividad con redes Wi-fi, se palía un problema con la transferencia de datos, preferencias y ajustes de otra instalación de OS X, soluciona problemas de audio usando la salida óptica o HDMI y también un fallo de su navegador Safari que podía dejar al sistema «congelado» visionando un vídeo.

Fuente; Planeta Mac.

Después de meses de espera ya está disponible para su descarga la nueva versión de Mac OS X, denominada «Lion» a un precio de 23,99 €. La novedad en cuanto a su instalación/actualización es que se hace a través de la App Store y no a través de un soporte óptico tal y como venía siendo habitual.

Apple informa que Mac OS X Lion incorpora más de 250 nuevas prestaciones para el usuario, aquí podéis ver las novedades de mayor importancia (guardado automático, reanudar, launchpad, control de versiones, Mission control, apps a pantalla completa, etc).

¿Cómo actualizar e instalar Lion? extraemos la información más relevante vía el sitio web de Apple;

Para ejecutar Lion tu Mac debe tener un procesador Core 2 Duo, Core i3, Core i5, Core i7 o Xeon de Intel. Comprueba que tu Mac tiene alguno de estos procesadores. Puedes hacerlo en la opción Acerca de este Mac, en el menú de Apple de la esquina superior izquierda.

Para poder comprar OS X Lion desde el Mac App Store debes actualizar a la versión más reciente de OS X Snow Leopard. Si ya tienes Snow Leopard, haz clic en el icono de Apple y elige Actualización de Software para instalar la última versión.

Abre el Mac App Store desde tu Dock para comprarlo y descargarlo. Después sigue las instrucciones para instalar Lion.

Es importante destacar que para realizar cualquier recuperación del disco, restaurar una copia de seguridad de Time Machine, etc, hay que pulsar en el arranque la combinación de teclas «comando» + «R» y de esa forma, entra en modo de recuperación (también con la tecla «opción» y seleccionar disco de recuperación).

Acceso a todas las especificaciones técnicas.

Tras más de cuatro años desde la última versión, se encuentra disponible la nueva versión de PuTTY 0.61, un ligero y potente cliente Telnet/SSH libre y gratuito para plataformas Windows-Unix con nuevas características, correcciones de errores y actualizaciones de compatibilidad para Windows 7 y diversos programas de servidor de SSH.

Listado de cambios.