Daboweb | Seguridad y ayuda informática |

Ha sido liberada por parte de Apple una nueva versión del reproductor de audio y vídeo QuickTime7.6.9 , disponible para Mac OS X versiones 10.5.8, así como para sistemas Windows (7, Vista y XP service Pack 2).

Esta nueva versión solventa hasta 15 problemas de seguridad que entre otras, podrían provocar el cierre de la aplicación y la ejecución arbitraria de código.

Dado el impacto de estos fallos y su posible explotación en los sistemas afectados, se recomienda actualizar a la mayor brevedad posible a la nueva versión.

# Listado de vulnerabilidades corregidas.

# Descarga de QuickTime 7.6.9.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Noviembre de 2010 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Noviembre 2010

• Manifiesto por una red neutral
• Seguridad básica en Daboweb. Utiliza cuentas de usuario limitadas
• Denegación de servicio en OpenSSL
• Nueva versión Wireshark 1.4.2
• Pidgin 2.7.7 soluciona error de validación (actualizado)
• [Breves] Enlazando —> “con seguridad”
• phpBB 3.0.8 Actualización urgente y tirón de orejas.
• Dabo y Ricardo Galli (Menéame, UIB) hablando de la administración de servidores web
• Recordando Fentlinux.com: segundo magazine
• Actualización de seguridad del Navegador web Safari soluciona multiples vulnerabilidades
• Actualización de seguridad para Adobe Acrobat y Reader
• Falsos correos sobre actualizaciones de Adobe Acrobat y Reader
• Firefox 4 beta7 disponible para Linux
• 438.208 mensajes para sus señorías…
• [Breves] Mac OS X Security Update 2010-007 solventa más de 50 bugs
• Actualizaciones de Microsoft Noviembre 2010
• Técnicas empleadas por los atacantes para consumar estafas
• Disponible Joomla! 1.5.22; Actualización de seguridad
• Si las empresas no pagan, lo pagarán los ciudadanos
• Actualización foros SMF 1.1.12
• Nueva versión de Flash Player, urge actualizar
• [Breves] Vulnerabilidad en todas las versiones de Internet Explorer
• Actualización del núcleo de OpenSuse
• Publicado en Daboweb, Octubre de 2010

Apple ha publicado las nuevas versiones 5.0.3 y 4.1.3 de su navegador web Safari. Esta entrega del software solventa múltiples vulnerabilidades que entre otras, podrían permitir al ejecución de código al acceder a sitios especialmente manipulados.

Dado el impacto de los bugs que se han parcheado en estas versiones, es más que aconsejable su inmediata actualización.

Para actualizar podéis descargaros las nuevas versiones del navegador para vuestro sistema operativo, (versión de Safari 5.0.3 para Mac OS X 10.6, 10.5, y Windows; y la versión Safari 4.1.3 para Mac OS X 10.4) desde el siguiente enlace:

# Descargar Safari.

o bien, desde la herramienta Actualización de software.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Octubre de 2010 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Octubre 2010

• Seguridad básica en Daboweb. Analiza siempre tus descargas con el antivirus
• ¿Reclama Oracle un “copyright” sobre el API de Java?
• ¿Llave USB “inutilizada” tras emplear Time Machine?
• Vulnerabilidad crítica en Adobe Acrobat, Reader y Flash Player
• Vulnerabilidad crítica en Firefox, urge actualizar
• Manuales Fentlinux (Apache, Autoconf y Automake, archivos src.rpm y Ubuntu)
• Herramientas para la interpretación de capturas de red. (5/10)
• Liberado Kernel Linux 2.6.36
• Actualizaciones de seguridad para Mozilla Firefox y Thunderbird
• Linux Mint 10 RC
• [Breves] Protección en servidores GNU/Linux contra ataques de fuerza bruta con BFD
• Htaccess Tools, te ayudará a proteger tu sitio web
• Disponible actualización para Suse Linux
• Actualizaciones de Microsoft Octubre 2010
• Ubuntu 10.10 Maverick Meerkat ya disponible
• Disponible Joomla 1.5.21, solventa vulnerabilidad XSS.
• Manuales de Fentlinux
• Actualizados Adobe Acrobat y Reader, urge actualizar
• Hazte con el CD de Ubuntu 10.10 Maverick Meerkat
• Publicado en Daboweb, Septiembre de 2010
• WordPress 2.6 para iPhone, iPad e iPod Touch

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Septiembre de 2010 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Septiembre 2010

• LibreOffice se perfila como el reemplazo de OpenOffice
• Posibles paradas en la web y foro el Martes y Miércoles.
• Stuxnet, un gusano informático que ataca a Irán
• Recordando a FentLinux: primer magazine
• Partido Pirata: nuevo presidente español y descalabro sueco
• Mac OS X Security update 2010-006 solventa grave bug en AFP
• Herramientas para la interpretación de capturas de red. (4/10)
• El Partido Pirata español elige presidente
• Seguridad básica en Daboweb. La pregunta secreta
• Actualizaciones de Microsoft Septiembre 2010
• Civic Commons, un proyecto de software libre para ayuntamientos
• [Breves] Safari 5.0.2 y 4.1.2 solventan 3 vulnerabilidades
• Nuevas versiones de Mozilla Firefox y Thunderbird
• Actualización de seguridad del kernel de SuSE Linux Enterprise 10
• Novedades Apple: iOS 4.1, iOS 4.2 e iTunes 10
• H.264 gana, ¿el fin de la guerra?
• Novedades Apple: Nuevos iPods y Apple TV
• (Publicado) DaboBlog Podcast, número 21. Kernel Panic y Manzanas Traigo.
• Publicado en Daboweb, Julio y Agosto de 2010

Están disponibles estas dos nuevas versiones del navegador web Apple Safari que solventan 3 vulnerabilidades que podrían bajo determinadas circunstancias a la ejecución de código arbitrario o un cierre inesperado de la aplicación.

La versión 4.1.2 es para Mac OS X 10.4 y la 5.0.2 para Windows y OS X 10.5-10.6.

Sitio web de descargas de Safari

Según leemos en InformationWeek, dentro del plan de actualizaciones trimestrales de Oracle, el próximo Martes se pondrán a disposición de los usuarios 59 parches que corrigen múltiples vulnerabilidades en varios de sus productos.

Cabe destacar que de esas vulnerabilidades, 21 se encuentran en la suite de productos de Solaris. Esta actualización contiene 13 nuevas correcciones de seguridad para el servidor de base de datos Oracle, parches también para 8 diferentes componentes de bases de datos Oracle:(Application Express, Export, Listener, Net Foundation Layer, Network Layer, Oracle OLAP, Oracle Secure Backup) etc.

Se recomienda a todos los administradores que usen estos productos, actualizar a la mayor brevedad posible cuando estén disponibles los parches ya que varias de las vulnerabilidades que se solventan, están catalogadas como críticas y explotables remotamente sin falta de autenticación bajo determinadas circunstancias.

Toda la info sobre estos parches en Oracle.

Después de las novedades que hemos conocido hoy sobre el iPhone 4, nos llega de la mano de Apple una actualización de seguridad para Safari 4.x que solventa múltiples vulnerabilidades en el navegador.

Adicionalmente, llega el esperado lanzamiento de Safari 5 con las siguientes mejoras;.

Safari Reader, un elemento que limpia la pantalla de contenido gráfico para facilitar la lectura de artículos.

Un soporte aún mayor a HTML5 que con el motor Nitro Engine, aumenta la velocidad en la navegación.

Al igual que en el Iphone 4 OS, se puede usar Bing como motor de búsqueda.

Anuncian un rendimiento de un 30 % más que Safari 4, un 3 % más que Google Chrome y el doble que Firefox.

Y la mayor novedad, abren por fin la puerta a la creación de extensiones, inaugurando un programa para desarrolladores.

Fuente y más info, Planeta Mac.

Nueva versión de mantenimiento para Drupal, esta versión no incluye ninguna actualización de seguridad pero aún así es recomendable actualizar a esta nueva versión que corrige pequeños fallos de versiones anteriores.

Entre la lista de correcciones se encuentra un mejor manejo de las sesiones a través de las cookies, mejora la compatibilidad con PostgreSQL, PHP 5.3, PHP 4 ..

Michael Zalewski, reputado consultor y desarrollador en asuntos de seguridad, ha desarrollado para Google «Skipfish», un potente y rápido escáner de vulnerabilidades web que sin lugar a dudas dará que hablar. Por lo poco que he podido comprobar desde que lo he instalado, cumple fielmente con casi todo lo que se anuncia en cuanto a fluidez y certeza en los análisis.

Para compilarlo, una vez desempaquetado, sólo necesitarás usar «make» pero te recuerdo que necesitarás instalar la librería libidn primeramente.

Skipfish está escrito intégramente en «C», se distribuye gratuitamente bajo una Licencia Apache versión 2.0 y está disponible para sistemas GNU/Linux, FreeBSD 7.0+, MacOS X y Windows (Cygwin). Esta herramienta de seguridad cuenta entre otras, con las siguientes funciones hablando de detección de posibles fallos de seguridad;

* Alertas de riesgo alto:

o Server-side SQL injection (including blind vectors, numerical parameters).
o Explicit SQL-like syntax in GET or POST parameters.
o Server-side shell command injection (including blind vectors).
o Server-side XML / XPath injection (including blind vectors).
o Format string vulnerabilities.
o Integer overflow vulnerabilities.

* Alertas de riesgo medio:

o Stored and reflected XSS vectors in document body (minimal JS XSS support present).
o Stored and reflected XSS vectors via HTTP redirects.
o Stored and reflected XSS vectors via HTTP header splitting.
o Directory traversal (including constrained vectors).
o Assorted file POIs (server-side sources, configs, etc).
o Attacker-supplied script and CSS inclusion vectors (stored and reflected).
o External untrusted script and CSS inclusion vectors.
o Mixed content problems on script and CSS resources (optional).
o Incorrect or missing MIME types on renderables.
o Generic MIME types on renderables.
o Incorrect or missing charsets on renderables.
o Conflicting MIME / charset info on renderables.
o Bad caching directives on cookie setting responses.

* Alertas de bajo riesgo:

o Directory listing bypass vectors.
o Redirection to attacker-supplied URLs (stored and reflected).
o Attacker-supplied embedded content (stored and reflected).
o External untrusted embedded content.
o Mixed content on non-scriptable subresources (optional).
o HTTP credentials in URLs.
o Expired or not-yet-valid SSL certificates.
o HTML forms with no XSRF protection.
o Self-signed SSL certificates.
o SSL certificate host name mismatches.
o Bad caching directives on less sensitive content.

* Alertas internas:

o Failed resource fetch attempts.
o Exceeded crawl limits.
o Failed 404 behavior checks.
o IPS filtering detected.
o Unexpected response variations.
o Seemingly misclassified crawl nodes.

* Otros datos de interés:

o General SSL certificate information.
o Significantly changing HTTP cookies.
o Changing Server, Via, or X-… headers.
o New 404 signatures.
o Resources that cannot be accessed.
o Resources requiring HTTP authentication.
o Broken links.
o Server errors.
o All external links not classified otherwise (optional).
o All external e-mails (optional).
o All external URL redirectors (optional).
o Links to unknown protocols.
o Form fields that could not be autocompleted.
o All HTML forms detected.
o Password entry forms (for external brute-force).
o Numerical file names (for external brute-force).
o User-supplied links otherwise rendered on a page.
o Incorrect or missing MIME type on less significant content.
o Generic MIME type on less significant content.
o Incorrect or missing charset on less significant content.
o Conflicting MIME / charset information on less significant content.
o OGNL-like parameter passing conventions.

Página de Skipfish en Google Code | Más info | Fuente (ENG).

A pesar de que hay muchos trackers dedicados a reseñar los múltiples tipos de vulnerabilidades que van surgiendo en todo tipo de software, hoy os queríamos recomendar a los usuarios de Ubuntu, un lugar donde podéis estar al tanto de los paquetes afectados por alguna vulnerabilidad o que estén pendientes de ser revisados.

Como muchos sabréis, CVE, abreviatura de Common Vulnerabilities and Exposures (Vulnerabilidades y amenazas comunes) es un código único que se asigna a una vulnerabilidad con el identificador CVE-año-número, fue creado por la Corporación MITRE y es el sistema estándar para estas cuestiones.

En el Ubuntu CVE Tracker podréis estar informados del estado de la seguridad de Ubuntu con el habitual sistema de clasificación de colores, rojo sería alto o crítico, naranja nivel medio y amarillo un riesgo bajo. Si en la lista aparece un asterisco, significa que ese paquete en concreto es mantenido por Canonical (propietaria de Ubuntu) en lugar de terceros.

Fuente > Jeff Jones Security Blog. (ENG).

Apple acaba de publicar el lanzamiento de la versión 4.0.5 de su navegador web Safari, esta entrega del software solventa múltiples vulnerabilidades en ColorSync, ImageIO, PubSub y su motor WebKit.

Safari 4.0.5 está disponible para Mac OS X S.Leopard, Leopard, Tiger, Windows Vista y 7 y dado el impacto de los bugs que se han parcheado en esta versión, es más que aconsejable su inmediata actualización. La gran mayoría de fallos corregidos previenen la ejecución arbitraria de código en el sistema afectado, corrupciones de memoria en el navegador o un cierre inesperado.

Además de lo dicho, se mejoran otros aspectos del navegador como pueden ser el funcionamiento de «Top Sites» o la configuración de Safari con algunos routers Linksys.

Descarga de Safari 4.0.5.

(Debajo toda la lista de vulnerabilidades corregidas según la info de la lista de correo de «Apple Security»; (ENG)

APPLE-SA-2010-03-11-1 Safari 4.0.5

Safari 4.0.5 is now available and addresses the following:

Continue reading…

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x, versión de mantenimiento que soluciona errores menores, como de costumbre y varios problemas de seguridad (más info, eng).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Recordamos que esta nueva actualización no pisa los archivos robots.txt y settings.php (el que va por defecto) como viene siendo habitual en las últimas versiones/actualizaciones; aún así desde aquí recomendamos hacer copia de estos archivos, de la base de datos y de cualquier archivo importante por lo que pudiera pasar.

En cambio el .htaccess sí ha vuelto a cambiar (más info, eng). Desde la web de Drupal recomiendan encarecidamente la actualización completa a esta última versión.

• Anuncio oficial.
• Descarga versión 6.16
• Descarga versión 5.22
• Parche versión 6.15
• Parche versión 5.21