Se encuentran disponibles para su descarga Drupal 7.19 y 6.28, son versiones de mantenimiento que contienen actualizaciones de seguridad para varias vulnerabilidades reportadas en el CMS por lo que es importante actualizar con brevedad.
Más info y descarga. Notas de las versiones Drupal 7.19 and Drupal 6.28 (ENG).
El pasado 16 de diciembre (se nos pasó publicarlo, pero se están detectando ataques con éxito en versiones vulnerables) el equipo de SMF puso a disposición de los usuarios las versiones 2.0.3, 1.1.17 y 1.0.23 de su sistema de foros. Las actualizaciones solventan un fallo de seguridad de impacto alto en todas las ramas, así como otros menores para la 2.0.x.
Recomendamos por tanto actualizar a la mayor brevedad posible todas las instalaciones de SMF.
(El método más cómodo para hacerlo, es desde el administrador de paquetes integrado en el panel de admin del foro si sólo se trata de parchear desde una versión anterior).
Además de los comentados, ayer, desde Packet Storm, se reportó una vulnerabilidad que afecta a la actual rama estable 2.0X a través de la cual es posible ver las rutas de instalación en el servidor (Path Disclosure). Tan sólo aclarar que este bug es real, pero sólo surte efecto si en php.ini el valor display_errors está = On (para que muestre los errores). Desde WHK Security (la fuente original y donde se reportó el bug) ofrecen una solución temporal hasta que el equipo de SMF lo solvente en futuras versiones.
Se encuentran disponibles para su descarga Drupal 7.18 y 6.27, son versiones de mantenimiento que contienen actualizaciones de seguridad para varias vulnerabilidades reportadas en el CMS por lo que es importante actualizar con brevedad.
Más info y descarga. Notas de las versiones Drupal 7.18 and Drupal 6.27 (ENG).
Al igual que en anteriores ocasiones, nos hacemos eco de una nueva publicación en el MOOC (Massive Open Online Course) de Crypt4you. En esta ocasión se trata de la novena lección y está dedicada al Ataque por cifrado cíclico.
Según leemos en la nota de prensa que nos ha llegado:
«…Nos servirá para destruir una máxima en criptografía de clave pública, que nos decía que para descifrar un criptograma resultado de la cifra de un mensaje con una clave, por ejemplo la pública de destino, la única solución era utilizar el mismo algoritmo pero usando la clave inversa, en este caso la clave privada de destino.
Veremos cómo es posible descifrar ese criptograma usando la misma clave de cifra, es decir la clave pública, mediante un ataque que utiliza sólo datos de la víctima que son públicos.
Otro tema es que esto implique mucho tiempo de cómputo para claves de tamaños actuales sobre los mil bits. Con ello, no romperemos la clave privada del destino pero sí el secreto o confidencialidad que se esperaba lograr con esa cifra…»
Apartado 9.1. Ataque al secreto mediante cifrado cíclico
Apartado 9.2. Incidencia del valor capturado en el ataque
Apartado 9.3. Incidencia de la clave pública e en el ataque
Apartado 9.4. Ataque por cifrado cíclico a claves con primos seguros
Apartado 9.5. Test de evaluación de la Lección 9
Apartado 9.6. Datos estadísticos de esta lección
Apartado 9.7. Encuesta
Podéis acceder desde el acceso directo de la lección.
Se han publicado sendas actualizaciones para las ramas 3.x y 2.5.x que corrigen un problema de seguridad que afecta las versiones 3.0 y 2.5.7 y anteriores. En el caso de la rama tres se soluciona actualizando a la versión 3.0.1 (wtf?) mientras que en la rama 2.5.x con la versión 2.5.8, ésta última además soluciona 9 errores.
La versión 3.0.2 viene más completa, soluciona 50 errores e incluye una nueva característica. Se recomiendo actualizar a la mayor brevedad posible.
Noticias en la web de Joomla! con información completa y enlaces de descarga (en inglés): 3.0.2 y 2.5.8
Si tienes pensado instalar un foro basado en phpBB, te recomendamos este curso gratuito de Floqq para hacerlo. Y nadie mejor que Raúl, «ThE KuKa», responsable de la comunidad amiga phpbb-es.com (soporte oficial en castellano de phpBB) para impartirlo debido a la gran experiencia que tiene.
La fecha del curso es el próximo día 20 de noviembre a las 19 h y será impartido a través de un Hangout (accesible con una cuenta de Google +), siendo la duración estimada de 1 hora. Mucha suerte con el curso tanto a los alumnos como al profesor ;).
Mozilla ha lanzado una nueva actualización de su navegador Firefox, la versión 16.0.2, que solventa un problema de seguridad de tipo XSS (entre otros problemas), consistente en que los datos de url’s contenidas en el objeto window.location podría ser ofuscados y en combinación con algunos plugins lanzar el ataque de cross-site scripting contra el usuario.
Info completa (en inglés). Lista completa de errores corregidos.
Recomendamos a todos los usuarios actualizar a la mayor brevedad posible a esta nueva versión. Bien desde el actualizador automático o desde el sitio de descargas de Firefox.
Tal y como podemos leer en el sitio web de Drupal, se ha liberado la versión de Drupal 7.16, una versión de mantenimiento que solventa vulnerabilidades en el CMS (SA-CORE-2012-003) por lo que es más que recomendable actualizar a la mayor brevedad posible.
Tal y como leemos en Hispasec, Mozilla ha actualizado con urgencia su navegador Firefox a la versión 16.0.1 que solventa el grave bug del que nos hicimos eco hace tan sólo unas horas.
Recomendamos a todos los usuarios actualizar a la mayor breve dad posible a esta nueva versión. Bien desde el actualizador automático o desde el sitio de descargas de Firefox.
Tal y como podemos leer en el aviso de INTECO-CERT, se ha reportado una vulnerabilidad catalogada como crítica en Firefox 16 (recién publicado). Dicho fallo de seguridad podría permitir a un sitio web malicioso conocer las páginas que han visitado sus usuarios, teniendo acceso a la URL así como a sus parámetros.
Dado el impacto de esta vulnerabilidad, se recomienda o bien hacer un «downgrade» a la versión 15.1, o utilizar mientras se solvente un navegador alternativo. (La versión 16 de Firefox ya no está disponible para su descarga).
Debido a la gran cantidad de usuarios que pueden verse afectados, es importante conseguir la máxima difusión posible.
Tal y como podemos leer en la web del proyecto Joomla, se acaba de anunciar la inmediata disponibilidad de Joomla 3.0.1. Se trata de una versión de seguridad, por lo que es más que aconsejable su inmediata actualización (os recomendamos documentaros antes del update a la 3.0.1, sobre el «Joomla 3.0.0 Hot Patch«). Esta versión también corrige varios problemas de alta prioridad localizados en la 3.0.0.
Al igual que en anteriores ocasiones, nos hacemos eco de una nueva publicación en el MOOC (Massive Open Online Course) de Crypt4you. En esta ocasión se trata de la octava lección y está dedicada al algoritmo RSA y los ataques por factorización. Según leemos en la nota de prensa que nos ha llegado:
Esta lección tiene como objetivo analizar el problema de la factorización de números grandes y su utilidad dentro del sistema de cifra RSA como elemento de fortaleza del algoritmo, profundizando en los ejemplos prácticos y dejando los aspectos matemáticos del problema en cuestión para próximos cursos de este MOOC
Podéis acceder desde el acceso directo de la lección:
Los apartados son:
Lección 8: Ataque por factorización
Apartado 8.1. Las funciones de un solo sentido y la criptografía
Apartado 8.2. Algoritmos de factorización entera
Apartado 8.3. Ejemplos prácticos de factorización
Apartado 8.4. Estado del arte en la factorización entera
Apartado 8.5. Test de evaluación de la Lección 8
Apartado 8.6. Datos estadísticos de esta lección
Apartado 8.7. Encuesta
La próxima entrega de este curso sobre RSA, Lección 9 de título Ataque por cifrado cíclico, se publicará en noviembre de 2012.
El equipo de desarrollo de Joomla acaba de publicar una noticia que muchos estaban esperando. La versión 3.0.0 de Joomla ya está disponible para su descarga y con ella, llegan grandes novedades tal y como podemos leer en en el anuncio del lanzamiento (ENG).
También se ha lanzado la versión 2.5.7 que solventa entre otros, 2 fallos de seguridad. Es importante recordar que el soporte para la rama 1.5x finaliza y es más que necesario actualizar dichas instalaciones bien a la 2.5 / 3.0 para evitar futuros problemas de seguridad.
Siguen los problemas para Oracle y Java, incluidos los usuarios que tengan necesidad de usar esta tecnología. El mes pasado, ya nos hicimos eco del fallo grave en Java (con información sobre cómo desactivarlo en todos los navegadores, recordamos que está parcheado). En esta ocasión y según una información publicada en CSO España, la firma Polaca «Security Explorations» alerta sobre un bug que podría afectar a 1.000 millones de usuarios.
La vulnerabilidad estaría localizada en versiones 5, 6 y 7 de Java en plataformas Windows, Mac OS X, GNU/Linux y Solaris por lo que el alcance es importante. Pudiendo derivar según informan, en la ejecución de una app maliciosa consiguiendo privilegios de administrador en el sistema afectado. También se indica que este fallo, es de un impacto mayor que el anterior «0day» y se vuelve a recomendar su desactivación temporal o en caso de necesidad de uso, hasta que Oracle (conocedora ya del problema y que en la ocasión anterior actuó con una inesperada rapidez) lo solvente, no sería aconsejable usar la máquina virtual de Java indiscriminadamente y más aún en entornos no confiables.
Aunque como leemos en Genbeta, sólo ha sido testeada en Windows 7 totalmente parcheado y en su edición de 32 bits, por lo que a falta de una información más concreta, usar el sentido común y extremar las precauciones junto a lo comentado anteriormente, puede ser el mejor de los consejos con los datos que manejamos en este momento.
A través de una información publicada en S21sec, ayer pudimos saber que uno de los proyectos con más peso en cuanto a la administración de bases de datos MySQL vía web, tuvo un problema de seguridad que afectó a uno de los «mirrors» desde el que se distribuye phpMyAdmin. En concreto, la web del proyecto informa que la versión afectada fue «3.5.2.2-all-languages.zip«.
La recomendación ante la duda es reinstalar o comprobar si la versión instalada contiene un fichero con el nombre de server_sync.php
© 2024 Daboweb | Seguridad y ayuda informática | All Rights Reserved.