Daboweb | Seguridad y ayuda informática |

Desde el sitio web de Moodle nos informan del lanzamiento de tres nuevas versiones de la popular plataforma de tele-formación. Además de una serie de correcciones de errores y pequeñas mejoras a nivel general, se han descubierto y parcheado varias vulnerabilidades que afectan a la seguridad del CMS por lo que desde Moodle recomiendan actualizar lo antes posible.

También informan que de acuerdo con su política habitual, los administradores de todos los sitios Moodle registrados serán notificados con detalles del problema de seguridad directamente a través de correo electrónico (detalles que en las próximas semanas publicarán en su web, y que cualquiera podrá consultar, con lo que ello supone).

Tenéis más información en las notas de la versión:

• Moodle 2.7.2 release notes
• Moodle 2.6.5 release notes
• Moodle 2.5.8 release notes

Y no olvidéis que sobre la 2.5 x, sólo se publicarán mejoras o darán soporte a cuestiones serias de seguridad.

Tal y como podemos leer en «TNW«, se acaba de conocer una vulnerabilidad XSS en el cliente web para Twitter Tweetdeck, que permitiría la ejecución remota de código javascript en el entorno del navegador de la víctima. Se está hablando de mensajes aleatorios en ventanas «pop-up» del tipo «Yo !» o «Please close now Tweetdeck» y que afectan a Google Chrome.

Ante un caso como este, nuestra recomendación sería cerrar las sesiones abiertas en Tweetdeck y revocar permisos en el administrador de aplicaciones de Twitter vía web.

Según informa Twitter desde su cuenta oficial, acaban de parchear la vulnerabilidad y bastaría con cerrar sesión y abrirla de nuevo, aunque seguimos recomendando, salir, revocar permisos y acceder de nuevo (o si no es urgente, esperar unas horas e ir leyendo información sobre el tema).

Está disponible una nueva versión de Mavericks (v10.9.3)  que además, viene con la segunda actualización de seguridad de 2014 con importantes fallos y vulnerabilidades parcheadas tal y como podéis leer en el anuncio oficial. Como siempre, os recomendamos aplicar el update (requiere reinicio) desde el menú «actualización de software» con brevedad.

Veréis mejoras en conexiones VPN e IPSec, nueva versión de Safari, bugs corregidos en el Kernel, Ruby, SSL, etc.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Mayo de 2014.

En esta ocasión, se compone de 8 actualizaciones de seguridad, 2 catalogadas como críticas y 6 como imp0rtantes, que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la ejecución remota de código, elevación de privilegios,  etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista, 7 y 8 instalado y ayuda a eliminarlas.

# Boletín y descarga de las actualizaciones.

Tal y como podemos leer en CSIRT-CV, Apple ha puesto a disposición de los usuarios a través de la actualización vía OTA desde el terminal (Información-actualización de software) o desde iTunes, la versión 7.1.1 de su Sistema Operativo móvil IOS. Esta versión solventa 19 vulnerabilidades de diverso impacto por lo que recomendamos su actualización con brevedad.

De todos los fallos resueltos, 16 residen en su motor «Webkit» y podrían llevar a la ejecución de código arbitrario en una página maliciosa preparada para tal fin (extracto):

Las mejoras incluidas incluyen la implementación de más mejoras en el sistema de reconocimiento de huellas digitales TouchID, la solución de un problema que afectaba a la capacidad de respuesta de los teclados y la corrección de un problema relacionado con el uso de teclados Bluetooth con VoiceOver activado.

Esta nueva versión está disponible para los dispositivos Apple iPhone 4 y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación.

Por otra parte, el primero de los problemas corregidos (CVE-2014-1296) reside en el tratamiento de las cabeceras http set-cookie que podría permitir a un atacante obtener el valor de la cookie. Un segundo problema (CVE-2014-1320) podría permitir a un usuario local leer punteros del kernel, lo que podría permitir saltar el ASLR (Address Space Layout Randomization) del kernel. Un tercer problema (CVE-2014-1295) podría permitir a un atacante capturar datos o cambiar las operaciones realizadas en sesiones protegidas con SSL.

Fuente original.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Abril de 2014.

En esta ocasión, se compone de 4 actualizaciones de seguridad, 2 catalogadas como críticas y 2 como imp0rtantes, que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la ejecución remota de código, elevación de privilegios,  etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible. Además, serán las últimas actualizaciones para Windows XP.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista, 7 y 8 instalado y ayuda a eliminarlas.

# Boletín y descarga de las actualizaciones.

Actualización: La mayoría de distribuciones están ofreciendo ya parches vía sus repositorios (Debian, Ubuntu, CentOS, etc). Por lo que vía aptitude / apt o yum, ya se pueden aplicar. Podéis comprobar si vuestro servidor es vulnerable desde http://filippo.io/Heartbleed.

Tal y como podemos leer en heartbleed.com, hablamos de una grave vulnerabilidad (CVE-2014-0160) en la popular biblioteca de software criptográfico OpenSSL. Este fallo, permite robar la información protegida bajo condiciones normales, por el cifrado SSL / TLS.

El tema es muy serio ya que SSL / TLS proporcionan una capa de seguridad y privacidad en las comunicaciones en un amplio espectro de Internet: aplicaciones web, pasarelas de pago, accesos a banca electrónica, correo electrónico, mensajería instantánea o algunas redes privadas virtuales (VPN).

El error «Heartbleed» permite a un atacante leer la memoria de los sistemas aparentemente protegidos por versiones vulnerables de OpenSSL. Este tipo de ataque puede comprometer las claves secretas que se utilizan para identificar a los proveedores de servicios y cifrar el tráfico, nombres de usuario y contraseñas, etc. Hablamos de comprometer comunicaciones que al estar usando SSL / TLS ya se entiende que son de naturaleza un tanto críticas caso de ser interceptadas con lo que ello supone.

¿Qué versiones de OpenSSL están afectadas?

OpenSSL 1.0.1 hasta la versión 1.0.1f (inclusive) son vulnerables
OpenSSL 1.0.1g No es vulnerable
OpenSSL rama 1.0.0 No es vulnerable
OpenSSL rama 0.9.8  No es vulnerable

Desde OpenSSL han publicado un parche para esta vulnerabilidad y os recomendamos aplicarlo con urgencia (o recompilar las versiones actuales con la opción: -DOPENSSL_NO_HEARTBEATS)

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Marzo de 2014.

En esta ocasión, se compone de 5 actualizaciones de seguridad, 2 catalogadas como críticas y 3 como imp0rtantes, que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la ejecución remota de código, elevación de privilegios,  etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista, 7 y 8 instalado y ayuda a eliminarlas.

# Boletín y descarga de las actualizaciones.

Apple ha puesto a disposición de los usuarios dos actualizaciones en IOS para dispositivos iPhone 3GS – iPod Touch (cuarta generación), IOS 6.1.6, así como para iPhone 4, 5, 5C, 5S y para el iPod Touch de quinta generación IOS 7.0.6. Ambas actualizaciones solventan una vulnerabilidad que permitiría a un atacante con privilegios en una Red, modificar y capturar datos en sesiones protegidas por SSL/TLS.

Ambas actualizaciones pueden aplicarse vía iTunes o desde el dispositivo (Ajustes, General, «acerca de» y ya podréis ver la actualización).

Del mismo modo, está disponible la misma actualización para Apple TV (6.0.2).

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Febrero de 2014.

En esta ocasión, se compone de 7 actualizaciones de seguridad, 4 catalogadas como críticas y 3 como imp0rtantes, que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la ejecución remota de código, denegación de servicio, elevación de privilegios,  etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista, 7 y 8 instalado y ayuda a eliminarlas.

# Boletín y descarga de las actualizaciones.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para enero de 2014.

En esta ocasión, se compone de 4 actualizaciones de seguridad  catalogadas como imp0ortantes que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la ejecución remota de código, denegación de servicio, elevación de privilegios,  etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista, 7 y 8 instalado y ayuda a eliminarlas.

# Boletín y descarga de las actualizaciones.

El equipo de Coppermine ha puesto a disposición una nueva versión de su software de creación de galerías fotográficas etiquetada como 1.5.26. Está catalogada como de seguridad y entre otras vulnerabilidades y errores, solventa un XSS y la posibilidad de subir fotografías por usuarios no autorizados bajo determinadas circunstancias.

Anuncio original.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para diciembre de 2013.

En esta ocasión, se compone de 11 actualizaciones de seguridad, 5 catalogadas como críticas y 6 como importante que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la ejecución remota de código, divulgación de información, etc. en los sistemas no actualizados (7 críticas en Internet Explorer) Más información detallada en INTECO-CERT.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista, 7 y 8 instalado y ayuda a eliminarlas.

# Boletín y descarga de las actualizaciones | Fuente Cajón Desastres

Apple acaba de publicar una actualización para dispositivos IOS bajo el número de versión 7.0.4. Esta entrega de su sistema operativo, solventa un fallo de seguridad relacionado con las compras en la App Store.

Según la información que llega desde la lista «Apple Security», un usuario conectado con ID de Apple, puede ser capaz de completar una transacción sin proporcionar una contraseña cuando se le solicite. También recibe mejoras en FaceTime que por cierto, será lo único que veas cuando actualices «entre otras mejoras». Hay mucha disparidad entre la información que recibe el usuario y los boletines que manda Apple, no se entiende esa forma de querer evitar llamar a las cosas por su nombre, pero eso es otra historia.

La actualización está disponible vía iTunes o desde el propio dispositivo. Productos afectados: iPhone 4 o posteriores, iPod touch 5ª generación o posteriores e iPad 2 a posteriores

CVE-ID
CVE-2013-5193

El equipo de Joomla acaba de liberar dos nuevas releases catalogadas como actualizaciones de seguridad para las ramas 2x y 3x. En concreto, la 2.5.15 que al igual que la 3.2.0, solventa tres vulnerabilidades XSS (dos de impacto medio y una de impacto alto en el «core» del CMS).

También se solventan múltiples bugs que afectan al funcionamiento en general de Joomla. Hay otra información de interés respecto a la rama 2.5x, el fin de soporte de está previsto para diciembre de 2014. Por lo que hasta esa fecha y según su propia información, no será necesario migrar a la rama 3x. En todo caso, urge actualizar las versiones anteriores de Joomla.

Más información sobre Joomla 2.5.15 | 3.2.0

Security Issues Fixed joomla! 3.2.0

• High Priority – Core XSS Vulnerability More information »
• Medium Priority – Core XSS Vulnerability More information »
• Medium Priority – Core XSS Vulnerability More information »

Security Issues Fixed joomla! 2.5.15

• High Priority – Core XSS Vulnerability More information »
• Medium Priority – Core XSS Vulnerability More information »
• Medium Priority – Core XSS Vulnerability More information »