Daboweb | Seguridad y ayuda informática |

Desde el blog de desarrollo de WordPress, nos llega el aviso del lanzamiento de una nueva versión. Esta entrega del CMS (3.4.2) está catalogada como de mantenimiento / seguridad y viene a solventar 20 bugs, tal y como informan en el área de la administración una vez que se instala.

Debido al alcance de los problemas resueltos y las mejoras que aporta, es más que importante aplicar la actualización lo antes posible.

Lista de cambios:

• Fixes some issues in the admin area where some older browsers (IE7, in particular) may slow down, lag, or freeze.
• Fixes an issue where a theme may not preview correctly, or its screenshot may not be displayed.
• Fixes the use of multiple trackback URLs in a post.
• Prevents improperly sized images from being uploaded as headers from the customizer.
• Ensures proper error messages can be shown to PHP4 installs. (WordPress requires PHP 5.2.4 or later.)
• Fixes handling of oEmbed providers that only return XML responses.
• Addresses pagination problems with some category permalink structures.
• Adds more fields to be returned from the XML-RPC wp.getPost method.
• Avoids errors when updating automatically from very old versions of WordPress (pre-3.0).
• Fixes problems with the visual editor when working with captions.

Version 3.4.2 fixes a few security issues and contains some security hardening. These issues were discovered and addressed by the WordPress security team:

• Fix unfiltered HTML capabilities in multisite.
• Fix possible privilege escalation in the Atom Publishing Protocol endpoint.
• Allow operations on network plugins only through the network admin.
• Hardening: Simplify error messages when uploads fail.
• Hardening: Validate a parameter passed to wp_get_object_terms().

Nuestra guía para actualizar WordPress (aparte de la actualización a «un click» desde el Dashboard).

El equipo de desarrollo del sistema de foros phpBB acaba de anunciar la nueva versión «Bertie’s long summer vacation» etiquetada como la 3.0.11, de mantenimiento que viene a corregir diferentes errores.

Además se ha mejorado la compatibilidad con PHP 5.4 y añadido un aviso sobre la versión mínima requerida para phpBB 3.1 orientada a usuarios con instalaciones de PHP antiguas.

Como siempre recomiendan actualizar a la mayor brevedad posible informando que solo darán soporte a las actualizaciones orientadas a esta versión y los problemas surgidos en la misma (nada nuevo bajo el sol).

Recordamos la conveniencia, siempre, de realizar copias de seguridad de los datos antes de proceder a actualizar.

Información sobre phpBB 3.0.11 | Zona de Descargas |

Se encuentran disponibles para su descarga e instalación varias actualizaciones para productos de Adobe, que solucionan graves vulnerabilidades de sus productos, Adobe Reader, Adobe Acrobat y FlashPlayer, en versiones para Windows, Linux y Macintosh.

Como ya hemos mencionado en anteriores ocasiones, insistimos en la importancia de mantener el sistema operativo y los programas siempre actualizados, por lo que se recomienda actualizar a la mayor brevedad posible a las nuevas versiones publicadas en la web de Adobe.

En Adobe Reader y Adobe Acrobat están afectadas las siguientes versiones:

• Adobe Reader X y Acrobat X 10.1.3 y anteriores en Windows y Macintosh.

• Adobe Reader y Acrobat 9.5.1 y anteriores en Windows y Macintosh.

Además recordaros que cuentas con la posibilidad de utilizar aplicaciones alternativas para trabajar con archivos PDF, con las que podrás visionarlos, crearlos, manipularlos, protegerlos, desprotegerlos, cortarlos, etc.

En el caso de FlashPlayer se recomienda actualizar a la versión 11.3.300.271 en Windows y Macintosh y a la versión 11.2.202.238 para Linux.

El equipo de Drupal ha liberado la versión 7.15 de su CMS como una versión de mantenimiento. En este caso, no se trata de una actualización de seguridad, aunque se solventan numerosos fallos encontrados en versiones anteriores, por lo que es más que recomendable su inmediata actualización.

Anuncio original (ENG) | Lista de cambios (ENG).

Coincidiendo con el lanzamiento de la nueva versión de Mac OS X 10.8 «Mountain Lion» (disponible por 15,99 €), nos llega desde la lista de correo de «Apple Security» el aviso de actualización de Safari 6.0 para Lion y Lion Server (10.7.4).

Esta versión solventa múltiples vulnerabilidades (XSS, función de autocompletar, ejecución arbitraria de código, etc) por lo que es más que recomendable su descarga desde el menú «Actualización de software».

Hace unos días os informamos sobre la herramienta que Parallels a puesto a disposición de los usuarios para comprobar si sus paneles de administración web son vulnerables a varios bugs localizados hasta la fecha.

Hoy nos hacemos eco del aviso de seguridad que han hecho llegar a través de su lista de correo con el siguiente contenido para paneles Plesk 10.4.4 y anteriores (fuente y más información):

Parallels ha publicado un nuevo conjunto de microactualizaciones críticas para determinadas versiones de Parallels Plesk Panel 10.4 o versiones anteriores para así proporcionar correcciones funcionales y mejorar la estabilidad y seguridad – incluyendo componentes de terceros. La finalidad de esta notificación es animar a todos los clientes a aplicar estas microactualizaciones a la mayor brevedad posible.

Las versiones afectadas van desde la 8.2 hasta la 10.4 y es más que necesaria su inmediata actualización.

Desde hace unos meses, estamos viendo como los ataques, bien por vulnerabilidades «0 Day» o ya publicadas, hacia servidores web con paneles de administración Plesk van en aumento..

Una forma sencilla de saber si tu panel es sensible a los últimos bugs que le afectan (ENG, sirva como ejemplo y algunos solventados de forma poco transparente en forma de «microupdates») es instalando y ejecutando este sencillo script en PHP que ha realizado Parallels (ENG).

Como recomendación, caso que el resultado revele que está pendiente de actualizar, además de aplicar el parche lo antes posible, frente a posibles intrusiones en días anteriores, es conveniente cambiar todos los passwords de acceso al propio Plesk, cuentas FTP, MySQL, etc.

Unos días después del lanzamiento de la versión 3.4 de WordPress con las novedades y mejoras que podéis leer en el enlace anterior, nos llega la 3.4.1, catalogada como actualización de mantenimiento y seguridad.

Concretamente, se han corregido 18 bugs (ENG) sobre la anterior versión y entre otras mejoras, desde WordPress destacan las siguientes:

• Fixes an issue where a theme’s page templates were sometimes not detected.
• Addresses problems with some category permalink structures.
• Better handling for plugins or themes loading JavaScript incorrectly.
• Adds early support for uploading images on iOS 6 devices.
• Allows for a technique commonly used by plugins to detect a network-wide activation.
• Better compatibility with servers running certain versions of PHP (5.2.4, 5.4) or with uncommon setups (safe mode, open_basedir), which had caused warnings or in some cases prevented emails from being sent.

Debido que se trata de una actualización de seguridad, se recomienda actualizar a la mayor brevedad posible, ya que como podemos leer en el anuncio original se solventan temas de importancia (hablando de algunas medidas de seguridad a nivel general, o que afectan a instalaciones «mutisitio» descubiertas y solventadas por el equipo de seguridad de WordPress).

Version 3.4.1 also fixes a few security issues and contains some security hardening. The vulnerabilities included potential information disclosure as well as an bug that affects multisite installs with untrusted users. These issues were discovered and fixed by the WordPress security team.

La actualización ya está disponible tanto desde vuestros paneles de administración o vía este enlace.

(Puedes consultar nuestra guía rápida para actualizar WordPress).

Hoy el calendario tiene una marca muy especial para nuestra comunidad. Tal día como hoy hace 10 años, Daboweb veía la luz. En una fecha como está, sólo puedo daros las gracias por todo lo que personalmente he ido aprendiendo y compartiendo en un dominio que por casualidad, lleva como prefijo mi nick.

Quizás, de lo que más orgulloso puedo estar, es de todo lo que a nivel humano me ha aportado llevar adelante esta comunidad, con la inestimable ayuda de tanta y tanta gente que no citaré ya que el tintero, se quedaría simplemente vacío. Leo a diario con ese orgullo al que aludo, muchos blogs y webs de compañeros de nuestro foro (estáis todos invitados), el verdadero pulmón de Daboweb, que ha sobrevivido en los tiempos de unas redes sociales, novedosas para unos, y ya conocidas por todos nosotros desde hace (10) años, porque tanto a nivel técnico como social, aquí hemos tenido siempre nuestro lugar.

Con un espíritu abierto, dándonos igual el sistema operativo que se ejecute en el ordenador del usuario. Todo ello publicando regularmente tutoriales, noticias sobre seguridad informática (en mayor medida), cibercultura y tecnología en general. Contenidos generados por parte del gran equipo de redacción actual y anteriores. Siempre con el único fin de que el conocimiento fluya, sin ningún interés en lo económico.

Es también un buen momento para además de los redactores, destacar el gran trabajo de todos los moderadores que han pasado por nuestros foros. Personas con un espíritu altruista que han cedido muchas horas de su tiempo para con el resto, verdaderos amigos sin los que llevar adelante todo esto, hubiese sido del todo imposible…

Para acabar, sólo decir que seguiremos a tope en la brecha con nuevas incorporaciones al equipo de redacción y diferentes contenidos, sin perder el rumbo y la línea editorial habitual. Sí amigos, una década, parece que fue ayer…

Muchas gracias por todo -;).

David Hernández (Dabo).

Como en tantas otras ocasiones, nos hacemos eco de la publicación de una nueva lección desde Intypedia, en este caso la última y no por ello menos interesante.

Aprovechamos la ocasión para felicitarles por el gran trabajo realizado para la comunidad ;).

Lección número 14 (info).

En el servidor Web de intypedia se encuentra disponible la Lección 14 de la Enciclopedia de la Seguridad de la Información con el título Funciones unidireccionales y hash, cuyo autor es el Dr. Hugo Krawczyk, investigador de IBM Estados Unidos, y que se verá como último vídeo destacado en la Web:

En esta lección Alicia explica a Bernardo las características y usos de las funciones unidireccionales y los hash en criptografía, resaltando su importancia como primitivas de autenticación así como sus debilidades ante ataques y colisiones.

La lección tiene una duración de 14:56 minutos y está formada por 4 escenas o capítulos:

• Escena 1. Funciones unidireccionales.
• Escena 2. Funciones hash.
• Escena 3. Resistencia a colisiones.
• Escena 4. Consideraciones prácticas: procedimientos, criptoanálisis y consecuencias.

Como siempre, la lección viene acompañada por 3 documentos en pdf que pueden descargarse desde el sitio Web de intypedia: el guión, las diapositivas y ejercicios para autoevaluación.

Acceso a la lección en Intyedia.

La historia es fácil de contar, dos de los integrantes de Daboweb con más «solera», Danae y Destroyer, un día decidieron abrir un blog. Ya venían con mucha experiencia de aquí y de otros proyectos en común como Windows Fácil y después, para los que empiezan, también como formato blog, «Básico y Fácil» (mucho mérito por cierto).

5 años después sólo podemos darles la enhorabuena ya que son muchos y además publicando día a día, con unas cifras en cuanto a visitas (cosa que no les obsesiona) que harían palidecer a más de un «Top Blogger». Todo ello sin perder la frescura y variedad en los contenidos, la sinceridad cuando se ponen frente al teclado y con el único ánimo y fin de compartir con el resto lo que van aprendiendo.

Así que desde esta vuestra casa y a unos día de nuestro décimo aniversario, sólo podemos deciros un «a por otros 25 más» (por lo menos;).

Acceso a «Cajón Desastres» | Post de su aniversario.

Nueva actualización de PHP, concretamente para las versiones 5.3 y 5.4, en las que se encontraron dos vulnerabilidades, las cuales pueden ser aprovechadas por un posible atacante para usar una inyeccion SQL y saltarse unas determinadas restricciones de seguridad.

En la versión 5.3 el fallo consiste un cambio temporal de la directiva «magic_quotes_gpc» y en ambas (la 5.4 y la 5.3), un script PHP que aceptase múltiples subidas de archivos en una misma petición podría provocar el acceso a directorios de acceso restringido, mediante nombres de archivos creados para tal efecto. Como ya hemos dicho, ambas vulnerabilidades son explotables mediante inyección SQL, con lo que se recomienda su actualización imediata.

Acaba de liberarse la versión 3.2.2 de WordPress catalogada como «actualización de seguridad». Según podemos leer en el anuncio de la release, se han solventado varios fallos de seguridad en 3 librerías externas: «Plupload», «SWFUpload», «SWFObject,», así como una escalada de privilegios y dos XSS.

Esta actualización está disponible desde vuestro panel de administración así como desde WordPress.org.

Se encuentran disponibles para su descarga e instalación varias actualizaciones para productos de Adobe, que solucionan graves vulnerabilidades de sus productos, Adobe Reader y Adobe Acrobat, en versiones para Windows, Linux y Macintosh.

Como ya hemos mencionado en anteriores ocasiones, insistimos en la importancia de mantener el sistema operativo y los programas siempre actualizados. por lo que se recomienda actualizar a la mayor brevedad posible a las nuevas versiones publicadas en la web de Adobe.

En Adobe Reader y Adobe Acrobat están afectadas las siguientes versiones:

• Adobe Reader X 10.1.2 y anteriores en Windows y Macintosh.

• Adobe Reader 9.5 y anteriores en Windows y Macintosh.

• Adobe Reader 9.4.6 y anteriores en Linux.

• Adobe Acrobat X 10.1.2 y anteriores en Windows y Macintosh.

• Adobe Acrobat 9.5 y anteriores en Windows y Macintosh.

Además recordaros que cuentas con la posibilidad de utilizar aplicaciones alternativas para trabajar con archivos PDF, con las que podrás visionarlos, crearlos, manipularlos, protegerlos, desprotegerlos, cortarlos, etc.

Se están reportando por la red desde diferentes medios, la posibilidad de que algunos Routers ADSL (sobre todo de Telefónica) podrían estar afectados por una vulnerabilidad que revela en texto plano la contraseña de administración del dispositivo, con las consecuencias que este hecho podría tener.

De hecho, ya se sabe de routers que están siendo usados como «pasarela» para realizar todo tipo de ataques hacia otros sistemas, siendo en ese caso sin saberlo, parte de una «botnet» o red troyanizada y controlada por terceros.

El problema viene dado por la opción de administración remota vía web (WAN) del Router. Tal y como informan desde INTECO, el método para saber si efectivamente tu Router es vulnerable, es navegando a cualquier servicio que te muestre la IP pública de tu sistema (por ejemplo desde What is my IP) y una vez hecho, hay que teclear en el navegador web: http://tu-ip-pública/password.cgi

Caso de que se vea tu contraseña, obviamente el Router es vulnerable y hasta que no haya alguna alguna actualización de firmware por parte del fabricante u otra solución, hay que desactivar en el dispositivo esa opción.

* Nota del redactor; En el momento de escribir estas líneas, mi Router, un Comtrend MULTI-DSL CPE de Jazztel no es vulnerable.