Daboweb | Seguridad y ayuda informática |

Acaban de ser liberadas por parte de Apple sendas versiones de sus reproductores de audio y vídeo iTunes y QuickTime, disponibles para Mac OS X versiones 10.4.10 y posteriores así como para sistemas Windows (Vista y XP service Pack 3).

Las nuevas versiones solventan varios fallos de seguridad importantes como pueden ser; desbordamientos del buffer, ejecución arbitraria de código, etc. Tanto visitando páginas web especialmente manipuladas para explotar los bugs, como viendo ficheros PSD, PICT o de vídeo también empaquetados con el mismo fin.

Dado el impacto de estos fallos y su posible explotación en el sistema, se recomienda actualizar con brevedad iTunes a la versión 8.2 y QuickTime a la 7.6.2. (Fuente, lista de correo de Apple)

Descarga de iTunes 8.2 | Descarga de QuickTime 7.6.2.

Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y una vulnerabilidad de seguridad crítica de Cross site scripting; leer más (en inglés).

Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.

Aparte de las copias de seguridad que hay que hacer siempre antes de actualizar un CMS hay que tener en cuenta que la actualización a las versiones 6.12 y 5.18 pisa los archivos .htaccess y robots.txt con lo cual hay que prestar especial atención a la hora de salvar estos archivos, especialmente si los hemos personalizado ya que perderíamos los cambios realizados.

• Anuncio oficial.
• Descarga versión 6.12
• Descarga versión 5.18
• Parche versión 6.11
• Parche versión 5.17

Se han reportado dos vulnerabilidades en el navegador Google Chrome explotables remotamente y consideradas como críticas. Una de ellas se da en el motor gráfico Skia 2D (integer overflow error) pudiendo llevar a la ejecución arbitraria de código visitando una página especialmente manipulada para ese fin.

El segundo bug viene dado por fallos de validación de entrada en procesos de renderizado en las pestañas del navegador con el resultado de ejecución arbitraria de código además de un mal funcionamiento del navegador del sistema afectado.

Estas vulnerabilidades se han reportado en las versiones anteriores a la 1.0.154.64 . La solución pasa por instalar dicha versión (1.0.154.64).

Vía Vulpen | Fuente y más info.

Desde la fundación Mozilla nos informan de que ya está disponible una (rápida) actualización de seguridad para Firefox etiquetada con el número de versión 3.0.8.

Esta actualización de Firefox viene a corregir dos vulnerabilidades críticas para el sistema incluyendo la tan comentada «0 day». Se recomienda a todos los usuarios que actualicen a la mayor brevedad posible sus navegadores para estar protegidos ante los posibles ataques que podrían sufrir caso de explotar dichos bugs.

Descarga de Firefox 3.0.8 | Notas de la versión | Bugs corregidos.

Desde phpt.net anuncian la disponibilidad de la versión 5.2.9 que viene a solventar unas 50 vulnerabilidades encontradas en la rama 5.2.x.

Algunas de ellas están catalogadas como «severas», por lo que conviene actualizar a la mayor brevedad posible tal y como informan en el anuncio de la release.

Los fallos más notables solucionados son los siguientes;

• Fixed security issue in imagerotate(), background colour isn’t validated correctly with a non truecolour image. Reported by Hamid Ebadi, APA Laboratory (Fixes CVE-2008-5498). (Scott)
• Fixed a crash on extract in zip when files or directories entry names contain a relative path. (Pierre)
• Fixed explode() behavior with empty string to respect negative limit. (Shire)
• Fixed a segfault when malformed string is passed to json_decode(). (Scott)

Toda la lista de cambios | Sección de descargas.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Acaba de ser liberada la versión 1.4.21 del software de gestión de galerías fotográficas Coppermine. Una actualización de seguridad que solventa una grave vulnerabilidad descubierta recientemente.

Esta nueva vulnerabilidad, CSRF (Cross-site request forgery), para la que según parece podría existir un exploit,  afectaría a todas las versiones 1.4.20 y anteriores.

Desde la web oficial del programa, se recomienda actualizar a esta nueva versión de Coppermine, a la mayor brevedad posible. Además de corregir esta vulnerabilidad, se añaden nuevas mejoras de estabilidad.

Descarga de Coppermine | Tutorial para actualizar Coppermine |

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

A continuación os ofrecemos un listado con las entradas publicadas este pasado mes de Febrero por si alguna no la habéis leido en su momento.

Os recordamos que tenemos habilitado un foro para comentar estas noticias y que para cualquier otra consulta informática, estaremos encantados de intentar echaros una mano en la medida que nos sea posible ya dentro de nuestros foros temáticos.

Publicado en Febrero de 2009;

• Drupal, actualizaciones de seguridad, versiones 6.10 y 5.16
• Servicios web y ataques a las cuenta de usuario ¿tanto cuesta avisar?
• Windows 7 por fuera, Windows Vista por dentro ¿versión o revisión? Nuestro repaso a «7».
• Daboweb en apoyo a forosdelweb.com y maestrosdelweb.com (Actualización, dominios recuperados -;)
• Debian GNU/Linux «Lenny» (versión 5.0), descarga disponible
• Vulnerabilidades en navegador web Apple Safari. Nueva versión 3.2.2 para Windows Vista y XP
• Apple security Update 2009-001 (Mac OS X 10.5.6 y Mac OS X 10.4.11) y Java Update
• Vulnerabilidad crítica en BlackBerry Aplication Web Loader.
• Actualizaciones de Microsoft Febrero 2009
• WordPress 2.7.1, actualización disponible
• Actualización foros SMF, versión 1.1.8 y tutorial de actualización.
• Ataque a phpBB.com y cuentas de usuario de sus foros comprometidas
• Vulnerabilidad en Coppermine, actualización disponible
• Vulnerabilidades en Firefox, actualización versión 3.0.6
• Migrar servidores utilizando el panel de control Plesk
• Postales virtuales con sorpresa

Acaba de ser liberada la versión 1.4.20 del software de gestión de galerías fotográficas Coppermine. Una actualización de seguridad que solventa una vulnerabilidad descubierta recientemente.

Esta vulnerabilidad, para la que según parece podría existir un exploit, podría entre otras, permitir la ejecución remota de código en aquellos sistemas no actualizados en las versiones 1.4.19 y anteriores.

Desde la web oficial del programa, se recomienda actualizar a esta nueva versión de Coppermine, a la mayor brevedad posible. Además de corregir esta vulnerabilidad, se añaden nuevas mejoras de estabilidad.

Descarga de Coppermine | Tutorial para actualizar Coppermine |

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Se encuentra disponible para su descarga la nueva versión Firefox 3.0.6 Final del navegador web de Mozilla.

Esta nueva actualización viene a solventar varios fallos de seguridad catálogados como críticos, así como otros menores  y problemas de estabilidad que afectarían a las versiones anteriores del navegador.

Problemas de seguridad:

• MFSA 2008-69 XSS vulnerabilities in SessionStore

• MFSA 2008-68 XSS and JavaScript privilege escalation

• MFSA 2008-67 Escaped null characters ignored by CSS parser

• MFSA 2008-66 Errors parsing URLs with leading whitespace and control characters

• MFSA 2008-65 Cross-domain data theft via script redirect error message

• MFSA 2008-64 XMLHttpRequest 302 response disclosure

• MFSA 2008-63 User tracking via XUL persist attribute

• MFSA 2008-60 Crashes with evidence of memory corruption (rv:1.9.0.5/1.8.1.19)

El navegador web Mozilla Firefox está disponible para varios sistemas e idiomas incluido el español. La actualización puede realizarse desde el propio navegador mediante la actualización automática a través del menú Ayuda -> Buscar actualizaciones si no tenéis configurada la detección automática de nuevas versiones, o bien, realizar la descarga manualmente e instalar posteriormente.

A todos aquellos que aún utilizáis la rama 2.x recordaros que Mozilla ya dejó de dar soporte a esta versión desde el pasado mes de Diciembre por lo que debéis actualizar a la rama 3.x.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Esta es una llamada de atención a aquellos que confían en un CMS tan potente y confiable como Joomla para gestión de sus contenidos en la red. Sin ir más lejos, en Daboweb lo hemos utilizado durante años con resultados más que satisfactorios.

Pero toda la estabilidad que da una versión revisada y actualizada del software, puede caer en saco roto si se usan versiones vulnerables de componentes, módulos o añadidos de terceros que no estén debidamente actualizados.

El hecho traer aquí este recordatorio, viene dado por la gran cantidad de noticias que me llegan desde diferentes listas de correo y fuentes RSS relacionadas con la seguridad, en las que no hay un día últimamente en el que no vea alguna vulnerabilidad (sobre todo inyección SQL) en varios de estos componentes.

Os recomendamos dar un vistazo a esta lista extraida de una búsqueda en Security Focus sobre dichas vulnerabilidades y veréis que no exagero dándole un vistazo a las fechas de publicación de los avisos y su contenido…

También os invitamos para cualquier consulta sobre este u otros CMS, a plantear el tema nuestro foro de Webmasters donde en la medida que nos sea posible, intentaremos ayudaros -;).

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Se han reportado por parte de Tobias Klein varias vulnerabilidades en el popular reproductor multimedia para entornos GNU/Linux (principalmente bajo KDE) Amarok.

Estos bugs afectan a versiones anteriores a la 2.0.1.1 y pueden ser aprovechadas por atacantes locales y remotos para comprometer un sistema vulnerable por fallos causados vía errores de corrupción de memoria y desbordamiento de enteros en «»Audible::Tag::readTag()» [src/metadata/audible/audibletag.cpp]» cuando se procesan archivos de audio debidamente manipulados para tal fin.

La solución pasa por actualizar el software a la versión 2.0.1.1 y se recomienda hacerlo a la mayor brevedad posible ya que la vulnerabilidad está catalogada como de «alto riesgo».

Descarga de Amarok 2.0.1.1

(Para Debian se está a la espera de un parche ya que se usa la rama 1.4.x)

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro.

Se encuentran disponibles para su descarga las nuevas versiones Firefox 3.0.5 Final y Firefox 2.0.0.19 Final del navegador web de Mozilla.

Estas nuevas actualizaciones vienen a solventar varios fallos de seguridad catálogados como críticos, que afectarían a las versiones anteriores del navegador.

El navegador web Mozilla Firefox está disponible para varios sistemas e idiomas incluido el español. La actualización puede realizarse desde el propio navegador mediante la actualización automática a través del menú Ayuda -> Buscar actualizaciones si no tenéis configurada la detección automática de nuevas versiones, o bien, realizar la descarga manualmente e instalar posteriormente.