Daboweb | Seguridad y ayuda informática |

De dos en dos, como los donuts, así nos vienen las actualizaciones últimamente para los CMS y Joomla! con dos ramas estables en producción no podría ser menos con dos actualizaciones de seguridad para las ramas 2.5 y 1.7. La rama 2.5 corrige dos problemas de seguridad catalogados de prioridad baja (Low Priority – Core – Information Disclosure 1,2), ambos bugs podrían comprometer la administración del sitio. En la rama 1.7 se corrigen así mismo los dos bugs anteriores y un tercero tambień de  prioridad baja (Low Priority – Core – Information Disclosure 3) por el cual un usuario no autorizado podría acceder al registro de errores en el servidor.

La versión 2.5.1 corrige además 30 errores reportados, mejoras que no han sido incorporadas (o eso parece al menos) en la rama 1.7 de la que os recordamos que termina el día 24 de este mes y que si no has upgradeado ya tu sitio a la versión 2.5.x ya estás tardando en hacerlo antes de que te pille el toro.

Anuncio oficial (1.7.5) | Anuncio oficial (2.5.1).

Dos nuevas actualizaciones para Joomla!, concretamente la versión 1.7.4 de la rama 1.7 (obvio) y la versión 2.5, ambas catalogadas como de seguridad por el equipo de desarrollo. Ésta última contiene 26 nuevas características, 4 problemas de seguridad corregidos y otros 356 no catalogados como de seguridad, de los importantes dos han sido catalogados de prioridad baja (Low Priority – Core – Information Disclosure 1,2)y los otros dos de prioridad media (Medium Priority – Core – XSS Vulnerability 1, 2)

La rama 1.7.4 corrige esos mismos cuatro problemas de seguridad, en cualquier caso es importante actualizar. Además se informa que la rama 1.7 finalizará dentro de un mes, el 24 de Febrero de 2012 y se recomienda migrar ya a la versión 2.5 que está asignada como LTS y ofrece al menos 18 meses de soporte.

Al mismo tiempo se ha publicado un anuncio oficial sobre la versión 2.5 recalcando algunos aspectos nuevos como la notificación automática de actualizaciones, tanto del núcleo como de extensiones, la búsqueda avanzada y compatibilidad con Microsoft SQL Server.

Anuncio oficial (1.7.4) | Anuncio oficial (2.5). | Noticia sobre novedades.

A través de Hispasec nos hacemos eco de las vulnerabilidades remotas localizadas en el contenedor de servlets Apache Tomcat, desarrollado por la Apache Software Foundation, las cuales han sido consideradas como de importancia por sus mantenedores, con lo que se recomienda a aquellos administradores que lo usen en su servidor procedan a comprobar si su versión de Tomcat es una de las afectadas. En concreto se trata de los siguientes fallos:

•  Denegación de servicio remota  relacionada con las colisiones en las tablas hash. Las versiones afectadas son la 5, 6 y 7
•  Revelación de información sensible debido a un error en el reciclado de objetos que podría volver visibles datos como IPs remotas o cabeceras HTTP a través de peticiones especialmente manipuladas. Las versiones afectadas son la 6 y 7.

Más información y solución en Hispasec

Se encuentran disponibles para su descarga e instalación varias actualizaciones para productos de Adobe, que solucionan graves vulnerabilidades de sus productos, Adobe Reader y Adobe Acrobat, en versiones para Windows y Macintosh.

En Adobe Reader y Adobe Acrobat están afectadas las siguientes versiones:
Adobe Reader X 10.1.1 y anteriores para Windows y Macintosh. Adobe Acrobat X 10.1.1 y anteriores para Windows y Macintosh.

Se recomienda actualizar a la mayor brevedad posible a las nuevas versiones publicadas en la web del programa.

Como ya hemos mencionado en anteriores ocasiones insistimos en la importancia de mantener el sistema operativo y los programas siempre actualizados.
Además recordaros que cuentas con la posibilidad de utilizar aplicaciones alternativas para trabajar con archivos PDF, con las que podrás visionarlos, crearlos, manipularlos, protegerlos, desprotegerlos, cortarlos, etc.

El equipo de desarrollo del sistema de foros phpBB acaba de anunciar la nueva versión «Bertie’s new year present» etiquetada como la 3.0.10, de mantenimiento que viene a corregir numerosos bugs.

Destacan en el post que han mejorado la asignación de permisos a los moderadores de tal modo que se pueden asignar de una forma más específica y menos generalizada y que la visibilidad del cumpleaños de los usuarios pasa a ser gestionado en el perfil donde se puede seleccionar mostrar ese dato o no hacerlo.

También afirman haber probado la versión sobre PHP 5.4 para que la actualización pueda hacerse sin problemas.

Como siempre recomiendan actualizar a la mayor brevedad posible informando que solo darán soporte a las actualizaciones orientadas a esta versión y los problemas surgidos en la misma (nada nuevo bajo el sol).

Recordamos la conveniencia, siempre, de realizar copias de seguridad de los datos antes de proceder a actualizar.

Información sobre phpBB 3.0.10 | Zona de Descargas |

El equipo de desarrollo del sistema de foros SMF, ha liberado dos nuevas versiones para las ramas 2.x y 1.1x que solventan vulnerabilidades catalogadas por ellos como críticas. Debido a este hecho, se recomienda parchear los foros a la mayor brevedad posible.

Recordad que para actualizar hay que poner el foro en mantenimiento, después como idioma «english» y una vez parcheado, hay que ejecutar el script (y luego borrarlo) www/miforo/upgrade.php. Más info y descarga de las versiones 2.0.2 y 1.1.16.

Se nos han escapado varias actualizaciones de Joomla! por diversos motivos, de hecho esta última actualización fué liberada el pasado día 14 y todavía ahora nos estamos haciendo eco de la misma. En principio y al menos en mi caso el RSS no funciona muy bien y no termino de recibir las actualizaciones con cierta normalidad, de hecho en esta última me han aparecido cinco versiones nuevas (tres de la rama 1.7 y dos de la 1.5).

Cómo sea la 1.5.25 viene con un problema de seguridad de nivel alto, un agujero de seguridad en la petición de cambio de la contraseña que debido a una generación de contraseñas débiles permiten cambiar las mismas de los usuarios en medio del proceso.

En la rama 1.7 encontramos el mismo problema, que además afecta a todas las versiones 1.6.x y otra vulnerabilidad de prioridad media.

Anuncio oficial (1.7.3) | Anuncio oficial (1.5.25).

De todos es sabido que una configuración correcta de PHP hablando de servidores web es vital para evitar «sustos» o ataques hacia nuestras máquinas. Si eres un administrador de sistemas o estás interesado en estas cuestiones, os recomendamos leer (en Inglés) estos 25 ejemplos para mejorar la seguridad de instalaciones en las que se ejecute PHP.

Acceso a; «25 PHP Security Best Practices For SysAdmins«

Se ha liberado por parte de la comunidad de desarrolladores de BIND, la versión BIND 9.8.1-P1 que solventa una vulnerabilidad seria que afecta al conocido servidor DNS y que según podemos leer en ISC, resuelve fallos en su funcionamiento a través de ciertas peticiones y el registro o log de errores en «query.c».

Descarga | lista de cambios.  (También están disponibles los parches en los «sources» de Debian).

El equipo de Drupal acaba de anunciar la disponibilidad de la versión 7.9 del CMS que trae consigo una importante corrección de errores (en este caso no se trata de una actualización de seguridad). Para más información os remitimos a la lista de cambios.

Descarga directa de Drupal 7.9 (tar.gz).

Según leemos en Hack Players, la web de MySQL ha sido víctima de un ataque  cuyo resultado, a falta de más datos sobre los contenidos que aloja, es la posible infección por malware de quienes lo visiten. Es la segunda vez este año que mysql.com sufre un ataque (no ponemos el enlace ya que ahora mismo, no es seguro visitar su web). En Slashdot se ha publicado que vendieron el exploit por 3.000 $.

Se trata de un «iframe» ofuscado en su código, que realiza una redirección a un servidor localizado en Alemania, para acto seguido, llevar al visitante a otro servidor desde donde se ejecuta un exploit. Recomendamos extremar las precauciones si se ha visitado recientemente y realizar un análisis del equipo en busca de posibles rastros de malware.

Si hablamos de certificados digitales, a todos nos viene a la memoria el tan nombrado caso de Diginotar del que ya hemos hablado en Daboweb en varias ocasiones. Si hablamos de un protocolo como «SSL« (acrónimo de «Secure Sockets Layer«, protocolo de capa de conexión segura), pensaremos en conexiones cifradas, «candados» en la parte superior de la barra de nuestro navegador, en resumen «una conexión segura» ¿o no?.

Hoy os queremos recomendar la lectura de una entrada publicada en el blog de nuestro amigo Sergio Hernando, en la que va más allá del típico resultado que podemos ver en la salida del «scanner» de vulnerabilidades de turno.

Tal y como dice el autor, solemos asociar las conexiones vía «SSL» a aplicaciones web, pero no hay que olvidar por ejemplo el uso masivo que hacemos de «SSL» en la recepción o envio de correo electrónico (aunque hoy en día, seguramente esa conexión ya sería vía «TLS«, una implementación mejorada del protocolo «SSL«), programas de mensajería instantánea, aplicaciones VoIP (voz sobre IP), etc.

Por lo que si hablamos de auditorías de seguridad, todo lo que vaya cifrado bajo «SSL«, debería ser auditado de la forma más minuciosa posible para evitar ataques en los que, la suplantación de identidad, junto a la posible captura de unos datos que «presuntamente» viajan por la red bajo una capa de cifrado, pueden resultar devastadores en los sistemas comprometidos.

Acceso a; «Principios teóricos y prácticos de auditoría SSL«.

El equipo de Drupal acaba de anunciar la disponibilidad de la versión 7.8 del CMS que trae consigo una importante corrección de errores (en este caso no se trata de una actualización de seguridad). Para más información os remitimos a la lista de cambios.

Descarga directa de Drupal 7.8 (tar.gz)..

Se ha encontrado un fallo de seguridad importante en un certificado digital emitido por la entidad Holandesa DigiNotar para Google. Dicho certificado se ha visto comprometido y con él, los usuarios de productos de Google (como puede ser el caso de Gmail) pueden ser víctimas de ataques «man in the middle» recopilando datos privados del usuario con el peligro que ello conlleva.

Google actualizará su navegador eliminando dicho certificado y Microsoft ya  ha procedido a eliminar a DigiNotar de la «Microsoft Certificate Trust List». Hablando de Firefox / Iceweasel, el equipo de soporte de Mozilla, ha publicado cómo eliminar dicho certificado.

Fuente y más información (Bitelia).

Para este Viernes, os recomendamos leer este interesante documento en formato PDF creado por el INTECO-CERT sobre los riesgos y amenazas del «Cloud Computing» (computación en la nube).

Puede que hayas leído estos pasados días mucha información sobre la caída de Amazon EC2 (podcast especial en Daboblog sobre Amazon EC2 con Ricardo Galli y Raúl Naveiras) en Europa debido a un fallo de hardware (provocado por un rayo) o que estés pensando en migrar tu proyecto web a un proveedor de hosting bajo este tipo de infraestructura, o quizás quieras ampliar conocimientos sobre este tipo de tecnología.

Sirva esta introducción como aperitivo de lo que encontrarás en la guía;

En la actualidad una de las tendencias del mercado de los sistemas de información es la proliferación de los servicios operando en la nube, los cuales son servicios que permiten la asignación dinámica de recursos en función de necesidades de los clientes y que aportan una reducción de costes en infraestructuras considerable. […]

Este no es el único documento que refleja la creciente preocupación por la seguridad en estas plataformas, como se refleja en documentos de entidades de referencia que también abordan este tema.

El informe siguiente resume algunos de estos documentos con el propósito de facilitar una visión general de amenazas, riesgos y aspectos a considerar en la seguridad en cloud.
Este informe realiza, en primer lugar, una descripción de los tipos de infraestructuras y servicios cloud para, a continuación, abordar los distintos elementos que han de tenerse en cuenta para abordar su seguridad, según el citado documento del NIST e informes recientes de la organización internacional CSA (Cloud Security Alliance) y de la consultora Gartner.

Las preocupaciones que derivan de estos informes se centran en aspectos la gestión de los datos, fundamentalmente en la propiedad de los mismos y la forma de operarlos y tratarlos por parte de los proveedores, así como en la identificación y control de acceso a los recursos.

Descarga en PDF de la guía sobre «riesgos y amenazas del Cloud Computing».