Daboweb | Seguridad y ayuda informática |

Está disponible desde el repositorio de WordPress o desde vuestro panel de administración, la versión 4.4.1 de WordPress catalogada como actualización de seguridad y de mantenimiento. Tal y como informan desde WordPress, se ha solventado un problema de tipo XSS que podría comprometer un sitio afectado y que afecta a todas las versiones anteriores. Además se han corregido 52 bugs en esta nueva versión.

Se recomienda actualizar a la mayor brevedad posible. Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Info en el trac de WordPress, lista de cambios.

Está disponible desde el repositorio de WordPress o desde vuestro panel de administración, la versión 4.3.1 de WordPress catalogada como actualización de seguridad y de mantenimiento. Tal y como informan desde WordPress, se han solventado un par de problemas de tipo XSS y otro problema de seguridad mediante el cual en ciertos casos un usuario sin permisos podría hacer una escalada de privilegios. Además se han corregido como 36 bugs en esta nueva versión.

Se recomienda actualizar a la mayor brevedad posible. Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Info en el trac de Wordpres, lista de cambios.

Está disponible desde el repositorio de WordPress o desde vuestro panel de administración, la versión 4.2.4 de WordPress catalogada como actualización de seguridad y de mantenimiento. Tal y como informan desde WordPress, se han solventado seis problemas; tres de ellos de tipo XSS y una potencial inyección de código SQL que se podría usar para comprometer un sitio web. Además esta nueva actualización soluciona otros cuatro errores.

Se recomienda actualizar a la mayor brevedad posible. Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Info en el trac de Wordpres, lista de cambios.

Está disponible desde el repositorio de WordPress o desde vuestro panel de administración, la versión 4.2.3 de WordPress catalogada como actualización crítica de seguridad y de mantenimiento. Tal y como informan desde WordPress, se ha solventado principalmente una vulnerabilidad crítica de tipo XSS y otra mediante la cual un usuario de tipo suscriptor podría escalar privilegios desde el dashboard para publicar una entrada. Se han corregido además 20 bugs de las versiones precedentes.

Se recomienda actualizar a la mayor brevedad posible. Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

Info en el trac de Wordpres, lista de cambios.

Está disponible desde el repositorio de WordPress o desde vuestro panel de administración, la versión 4.2.2 de WordPress catalogada como actualización crítica de seguridad y de mantenimiento. Tal y como informan desde WordPress, se ha solventado principalmente una vulnerabilidad grave ante ataques XSS DOM. Se han corregido además 13 bugs de las versiones precedentes.

Info en el trac de Wordpres, lista de cambios.

Está disponible desde el repositorio de WordPress o desde vuestro panel de administración, la versión 4.2.1 de WordPress catalogada como actualización crítica de seguridad. Tal y como informan desde WordPress, se ha solventado principalmente un XSS por el cual un atacante podría comprometer la seguridad del sitio a través de un comentario en las versiones anteriores.

Más info sobre la vulnerabilidad en AyudaWordpress, info en el trac de Wordpres, lista de cambios.

Está disponible desde el repositorio de WordPress o desde vuestro panel de administración, la versión 4.1.2 de WordPress catalogada como actualización crítica de seguridad. Tal y como informan desde WordPress, se ha solventado principalmente un XSS por el cual un atacante anónimo podía comprometer la seguridad del sitio web para versiones anteriores a la 4.1.2.

WordPress versions 4.1.2 and earlier are affected by a critical cross-site scripting vulnerability, which could enable anonymous users to compromise a site.

Además, se han solucionado otros problemas de seguridad que extraemos de la fuente original:

• In WordPress 4.1 and higher, files with invalid or unsafe names could be uploaded.

• In WordPress 3.9 and higher, a very limited cross-site scripting vulnerability could be used as part of a social engineering attack.

• Some plugins were vulnerable to an SQL injection vulnerability.

Debido al impacto de estas vulnerabilidades, os recomendamos actualizar a la mayor brevedad posible (aunque algunos según comprobamos, ya se están actualizando de forma automática)

Para este Viernes, os recomendamos leer este interesante documento en formato PDF creado por el INTECO-CERT sobre los riesgos y amenazas del «Cloud Computing» (computación en la nube).

Puede que hayas leído estos pasados días mucha información sobre la caída de Amazon EC2 (podcast especial en Daboblog sobre Amazon EC2 con Ricardo Galli y Raúl Naveiras) en Europa debido a un fallo de hardware (provocado por un rayo) o que estés pensando en migrar tu proyecto web a un proveedor de hosting bajo este tipo de infraestructura, o quizás quieras ampliar conocimientos sobre este tipo de tecnología.

Sirva esta introducción como aperitivo de lo que encontrarás en la guía;

En la actualidad una de las tendencias del mercado de los sistemas de información es la proliferación de los servicios operando en la nube, los cuales son servicios que permiten la asignación dinámica de recursos en función de necesidades de los clientes y que aportan una reducción de costes en infraestructuras considerable. […]

Este no es el único documento que refleja la creciente preocupación por la seguridad en estas plataformas, como se refleja en documentos de entidades de referencia que también abordan este tema.

El informe siguiente resume algunos de estos documentos con el propósito de facilitar una visión general de amenazas, riesgos y aspectos a considerar en la seguridad en cloud.
Este informe realiza, en primer lugar, una descripción de los tipos de infraestructuras y servicios cloud para, a continuación, abordar los distintos elementos que han de tenerse en cuenta para abordar su seguridad, según el citado documento del NIST e informes recientes de la organización internacional CSA (Cloud Security Alliance) y de la consultora Gartner.

Las preocupaciones que derivan de estos informes se centran en aspectos la gestión de los datos, fundamentalmente en la propiedad de los mismos y la forma de operarlos y tratarlos por parte de los proveedores, así como en la identificación y control de acceso a los recursos.

Descarga en PDF de la guía sobre «riesgos y amenazas del Cloud Computing».