Daboweb | Seguridad y ayuda informática |

Esta parece la semana de los CMS o sistema de gestión de contenidos, (del inglés «Content Management System»), lo explico porque muchas veces abusamos de los acrónimos y no está mal explicarlo alguna vez.

Hoy le toca al sistema de foros phpBB y su versión 3.0.3 anunciada por Acyd Burn que viene con un número de bugs y problemas de estabilidad solventados más que importante, os conviene darle un vistazo a la lista de cambios.

Desde phpBB recomiendan actualizar urgentemente los foros ya que alguno de los fallos solucionados es un tanto crítico «Please note that we urge you to update». Aclaro este punto ya que de otro modo, se podría pensar que el título del post pretende ser un «titular», con ver la lista de cambios uno puede comprobar que la cosa va en serio -;).

Acceso a la sección de descargas de phpBB

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

La activa comunidad que mantiene y desarrolla el popular CMS Joomla! ha anunciado la disponibilidad de una nueva versión de su software.

Esta entrega de Joomla! se etiqueta con el número 1.5.8 y ha sido bautizada como «Wohnaiki». Dicha release contiene según se puede leer en el post del lanzamiento 71 bugs corregidos, entre ellos dos que afectan a la seguridad del CMS catalogados como de un nivel «moderado», concrétamente los siguientes;

Vulnerabilidad XSS en «com_content»

* SubProject: com_content
* Severity:moderate
* Versions: 1.5.7 and all previous 1.5 releases
* Exploit type: XSS
* Reported Date: 2008-October-03
* Fixed Date: 2008-November-10

Vulnerabilidad XSS en «com_weblinks»

* SubProject: com_weblinks
* Severity:moderate
* Versions: 1.5.7 and all previous 1.5 releases
* Exploit type: XSS
* Reported Date: 2008-November-9
* Fixed Date: 2008-November-10

Como anuncian en la información que os he puesto arriba, estos fallos se dan en Joomla! 1.5.7 y todas las releases anteriores de la rama 1.5.x por lo que es más que recomendable actualizar lo antes posible el CMS.

La solución pasa por instalar Joomla! 1.5.8 (página de descargas).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro.

Según informan desde la lista de correo de Apple se han reportado varias vulnerabilidades en el paquete iLife 8.0 de Apple y Aperture 2, los fallos se dan en  Mac OS X Tiger , versiones que van desde la 10.4.9 hasta la 10.4.11 y están solventados en sistemas corriendo bajo Mac OS X v10.5.5 (Leopard).

Los problemas se dan cuando se visualizan imágenes en formato JPEG y TIFF previamente manipuladas por usuarios maliciosos que al ser visualizadas pueden provocar un cierre inesperado de la aplicación o la ejecución de código arbitrario.

La solución pasa por instalar el paquete iLife Support 8.3.1. vía vuestro menú «Actualización de software» o el sitio web de descargas de Apple

Más información (Web de Apple).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro.

Desde Simple Machines anuncian la versión 1.1.7 de SMF foros, también aclaran que es una actualización de seguridad y que es altamente recomendable pasar a esta nueva entrega ya que solventa varios fallos de importancia encontrados en SMF 1.1.6 y anteriores.

Si estáis usando la versión 1.1.6, os será suficiente con la opción «Smal update» que podéis ver en la sección «Descargas», en el caso de vuestro foro contenga modificaciones o «mods» o uséis una versión anterior, hay que optar por la opción «Large upgrade».

Desde el panel de admin se ofrece una actualización automática que a simple vista y escribiendo vuestros datos FTP y dando permisos de escritura a ciertos directorios, lo hace el propio foro pero a mi no me convence ni lo uno, ni lo otro.

Por mi experiencia de años usando y actualizando SMF en los foros de Daboweb así como en Caborian, os diré que la forma más segura de hacerlo y la que menos problemas caso de que falle os dará, es hacerlo de un modo manual con un control completo del update.

Os resumo más o menos los pasos que sigo para hacerlo caso de que tengáis acceso vía SSH al servidor y estéis familiarizados con una línea de comandos GNU/Linux, pero esta info es válida también si accedéis vía FTP o desde un panel tipo Plesk, Cpanel, etc, la parte de hacer un backup de la base de datos MySQL con phpMyAdmin también la podéis hacer sin problemas.

Tutorial para actualizar foros SMF (sin sustos-;).

1– Ponéis el foro en mantenimiento y el idioma en Inglés (si no, os dará fallo).

Continue reading…

Se han reportado dos nuevas vulnerabilidades, (una catalogada como «muy grave» y otra como «extremadamente grave»), para el Navegador web Opera.

Estas vulnerabilidades afectarían a las versiones anteriores a la 9.61 y podrían ser explotadas por atacantes para eludir restricciones de seguridad y robar información sensible.

Desde la web del programa informan que se encuentra disponible para su descarga Opera 9.62 para Windows, Linux, Mac OS, FreeBSD y Solaris. Una nueva actualización de seguridad del navegador web que solucionaría estas vulnerabilidades.

Descargar Opera 9.62

Han sido notificadas dos vulnerabilidades de seguridad catalogadas como críticas en el software de ofimática libre OpenOffice.

Estas vulnerabilidades afectarían a las versiones anteriores a la 2.4.2 y podrían llegar a ser explotadas por atacantes remotos, para ejecutar código arbitrario y comprometer sistemas vulnerables.

Hace unos días informábamos sobre la reciente actualización de este programa ofimático a su versión 3.0.0, versión esta que no se encuentra afectada por estas vulnerabilidades.

• Vulnerabilidad en la manipulación de archivos WMF.

• Vulnerabilidad en la manipulación de archivos EMF.

Se ha publicado desde Microsoft fuera del ciclo de publicaciones mensuales que ya reflejamos hace unos días, la actualización de seguridad MS08-067 (KB:KB958644) catalogada como «Crítica» para los sistemas Windows 2000 con SP-4, Windows Xp SP-2 y SP-3, Windows Server 2003 y catalogada como «Importante» para Windows Vista y Windows Server 2008.

Desde Microsoft indican que se ha detectado un problema de seguridad que podría permitir a un usuario remoto malintencionado y que no está autenticado poner en peligro un sistema basado en Microsoft Windows y hacerse con el control del mismo.

Las descargas pueden realizarse manualmente desde la web de Microsoft, o bien, desde el update automático del propio Sistema Operativo. Se recomienda actualizar a la mayor brevedad posible.

Toda la información y descarga del parche.

Se han reportado hasta tres vulnerabilidades, (dos catalogadas como «muy graves» y una como «extremadamente grave»), para el Navegador web Opera.

Estas vulnerabilidades afectarían a las versiones anteriores a la 9.60 y podrían ser explotadas por atacantes para eludir restricciones de seguridad y robar información sensible.

Desde la web del programa informan que se encuentra disponible para su descarga Opera 9.61 para Windows, Linux, Mac OS, FreeBSD y Solaris. Una nueva actualización de seguridad del navegador web que solucionaría estas vulnerabilidades.

Descargar Opera 9.61

Se ha notificado una vulnerabilidad en el reproductor multimedia VLC Media Player para las versiones 0.9.0 a la 0.9.4 que permitiría un desbordamiento de bufer y la ejecución de código arbitrario.

El usuario que aún disponga de estas versiones vulnerables, debe abstenerse de abrir archivos de terceros no confiables, o acceder a sitios remotos no confiables.

Desde la web del programa proponen actualizar a la mayor brevedad a la nueva versión del reproductor VLC 0.9.5, aunque en estos momentos veo que aún no se encuentra disponible en descarga, estad atentos.

Descargar VLC Media Player

Se han notificado varias vulnerabilidades en Adobe Flash Player 9.0.124.0 y anteriores, tanto para Windows como para Linux, que podrían permitir a un atacante tomar el control de los sistemas afectados.

Como solución al problema desde Adobe recomiendan actualizar cada plataforma a la versión 10.0.12.36. o bien, esperar a primeros de Noviembre que preveen tener disponible una nueva actualización de la versión 9.

Descargar Flash Player.

Se han reportado varias vulnerabilidades en el navegador Opera, versiones anteriores a la 9.60.

Estas vulnerabilidades pueden llevar a que direcciones especialmente diseñadas ejecuten código arbitrario, este aviso está catalogado como de extrema gravedad. y que un error en las applets Java pueda ser utilizado para leer información sensible, este aviso está catalogado como muy grave.

Dada la seriedad de las vulnerabilidades, os recomendamos actualizar a la mayor brevedad posible a la versión 9.60 de Opera

Múltiples medios digitales se están haciendo eco de una nueva y grave vulnerabilidad que afecta a la gran mayoría de navegadores web existentes (incluso Adobe Flash) exceptuando a navegadores en modo texto tipo links o lynx.

El problema, es que en esta ocasión no se basa en Javascript y si bien para este tipo de vulnerabilidades que no han sido localizadas o «oday», os solemos recomendar el uso de soluciones tipo NoScript, en esta ocasión no hay niguna solución inmediata.

El tema es serio ya que el «Clickjacking» abre un nuevo campo en el secuestro de sesiones en el navegador, con esta técnica, mediante una página manipulada para explotar este bug, el atacante puede tomar el control de los vínculos visitados en vuestro navegador…

Sus descubridores, Robert Hansen y Jeremiah Grossman han puesto en conocimiento discretamente a los principales fabricantes afectados de la vulnerabilidad y se espera que sea solventada a la mayor brevedad posible aunque no se prevee que sea fácil dada su complejidad.

Fuente y más información.

Se ha reportado una vulnerabilidad en el navegador de Microsoft Internet Explorer versiones 7 y 8 beta que mediante un ataque «crosszone scripting» puede llevar a un atacante remoto a hacerse con el control de la máquina afectada. No es un bug que en principio se prevea que vaya a ser masivamente explotado, la vulnerabilidad se da a la hora de imprimir una página web debidamente malformada para ese fin y se tiene que activar la función en el menú imprimir «tabla de vínculos habilitada». Microsoft está ya trabajando en el tema para publicar un parche de seguridad lo antes posible. Fuente y más info.

Continue reading…

Si hace menos de una semana publicábamos la actualización del navegador web de Apple, Safari 3.1, hoy volvemos a hablar de él para informar de una vulnerabilidad en su versión para Windows, explotable de forma remota, que podría provocar una denegación de servicio en el mismo.

Existe un exploit que demostraría esta vulnerabilidad y al momento de publicar esta noticia no existe solución al problema.

Continue reading…