Daboweb | Seguridad y ayuda informática |

Tal y como acaban de publicar en WordPress.org, está disponible la versión 3.8.2, catalogada como una actualización importante de seguridad, e inciden en que se actualicen las instalaciones con versiones anteriores a la mayor brevedad posible.

Se han solventado varios fallos de importancia relacionados con la autenticación y las cookies, junto a otro que permitiría a un usuario con el rol de «colaborador» publicar artículos sin estar autorizado. También mencionan mejoras en abusos vía pingbacks, un SQLi de bajo impacto y un posible XSS en la librería de terceros «Plupload» usada para subir ficheros a WordPress.

La actualización está ya disponible desde el panel de administración.

Podéis leer las notas de la release o consultar la lista de cambios

El equipo de desarrollo de Joomla! acaba de publicar dos nuevas versiones de su CMS para las ramas 2.5.x y 3.2.x. Ambas están catalogadas como actualizaciones de seguridad y es importante actualizar a la mayor brevedad. Para la rama 3.2 hay cuatro problemas de seguridad corregidos (uno de calificación alta de inyección SQL y tres de calificación media) además de unos 40 bugs corregidos; para la rama 2.5 hay 6 errores corregidos y 2 de seguridad de calificación media.

Anuncio oficial y lista de cambios: Joomla! 2.5.19 y 3.2.3

El equipo de Coppermine ha puesto a disposición una nueva versión de su software de creación de galerías fotográficas etiquetada como 1.5.26. Está catalogada como de seguridad y entre otras vulnerabilidades y errores, solventa un XSS y la posibilidad de subir fotografías por usuarios no autorizados bajo determinadas circunstancias.

Anuncio original.

El equipo de Joomla acaba de liberar dos nuevas releases catalogadas como actualizaciones de seguridad para las ramas 2x y 3x. En concreto, la 2.5.15 que al igual que la 3.2.0, solventa tres vulnerabilidades XSS (dos de impacto medio y una de impacto alto en el «core» del CMS).

También se solventan múltiples bugs que afectan al funcionamiento en general de Joomla. Hay otra información de interés respecto a la rama 2.5x, el fin de soporte de está previsto para diciembre de 2014. Por lo que hasta esa fecha y según su propia información, no será necesario migrar a la rama 3x. En todo caso, urge actualizar las versiones anteriores de Joomla.

Más información sobre Joomla 2.5.15 | 3.2.0

Security Issues Fixed joomla! 3.2.0

• High Priority – Core XSS Vulnerability More information »
• Medium Priority – Core XSS Vulnerability More information »
• Medium Priority – Core XSS Vulnerability More information »

Security Issues Fixed joomla! 2.5.15

• High Priority – Core XSS Vulnerability More information »
• Medium Priority – Core XSS Vulnerability More information »
• Medium Priority – Core XSS Vulnerability More information »

Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.5.2 (segunda de la rama 3.5) y que solventa 12 bugs respecto a la entrega anterior (3.5.1).

Respecto a cuestiones de seguridad, se han solventado 7 vulnerabilidades «serias», varias relacionadas con XSS, DoS, entre ellas una relacionada con la librería de SWFUpload y otra con la librería externa del editor TinyMCE y otras menores. Podeis leer la traducción de estas correcciones de seguridad en Ayuda WordPress.

La actualización, muy importante hacerla,  está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.5.1 y que solventa 37 bugs respecto a la entrega anterior (3.5). Además, podemos encontrar mejoras en el editor, librería multimedia, posts programados, API, etc.

Respecto a cuestiones de seguridad, se ha solventado una de la que ya nos hicimos eco relativa a escaneos de puertos y pingbacks que afecta a todas las versiones anteriores, además de tres XSS de diferente impacto (rel: «shortcodes», contenido de los post y la librería externa «Plupload»).

La actualización está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

Tal y como podemos leer en Ayuda WordPress, se ha reportado una vulnerabilidad XSS explotable a través del plugin Jetpack para WordPress. Comprobad si se está ejecutando desde el navegador a través de tusitio.com/wp-content/plugins/jetpack/modules/custom-css/csstidy/css_optimiser.php.

En la fuente original se menciona un XSS en CSSTidy (css_optimiser.php) y se puede ver que data de julio de 2010...

Dicho fichero (más info en el trac) ha sido ya eliminado (borradlo en vuestro blog) el plugin funciona sin problemas.

Mozilla ha lanzado una nueva actualización de su navegador Firefox, la versión 16.0.2, que solventa un problema de seguridad de tipo XSS (entre otros problemas), consistente en que los datos de url’s contenidas en el objeto window.location podría ser ofuscados y en combinación con algunos plugins lanzar el ataque de cross-site scripting contra el usuario.

Info completa (en inglés). Lista completa de errores corregidos.

Recomendamos a todos los usuarios actualizar a la mayor brevedad posible a esta nueva versión. Bien desde el actualizador automático o desde el sitio de descargas de Firefox.

Según podemos leer en el sitio web de Joomla, se acaba de liberar una nueva versión (2.5.7) del popular CMS. Esta release viene a solventar dos vulnerabilidades, (en el «core» del CMS, en concreto dos XSS, [20120901] – [20120902], así como otros fallos localizados en el software.

A pesar de que están catalogados como «de prioridad baja», se recomienda actualizar a la mayor brevedad posible.

Coincidiendo con el lanzamiento de la nueva versión de Mac OS X 10.8 «Mountain Lion» (disponible por 15,99 €), nos llega desde la lista de correo de «Apple Security» el aviso de actualización de Safari 6.0 para Lion y Lion Server (10.7.4).

Esta versión solventa múltiples vulnerabilidades (XSS, función de autocompletar, ejecución arbitraria de código, etc) por lo que es más que recomendable su descarga desde el menú «Actualización de software».

Acaba de liberarse la versión 3.2.2 de WordPress catalogada como «actualización de seguridad». Según podemos leer en el anuncio de la release, se han solventado varios fallos de seguridad en 3 librerías externas: «Plupload», «SWFUpload», «SWFObject,», así como una escalada de privilegios y dos XSS.

Esta actualización está disponible desde vuestro panel de administración así como desde WordPress.org.

Según podemos leer en H-Online, (ENG) el equipo de Opera ha liberado la versión 11.61 de su navegador web. Se han solventado dos vulnerabilidades, siendo una de ellas catalogada de un impacto crítico para el sistema.

Concretamente, un XSS (Cross-site scripting), puede hacer que un atacante pueda traspasar las políticas original de seguridad del software, comprometiendo su integridad. El segundo fallo, catalogado como «leve», puede hacer que páginas remotas detecten ficheros locales en el sistema del usuario. Hay acualizaciones para Windows, Mac OS X, GNU/Linux, FreeBSD y Solaris. Descargas.

Se han reportado por parte de Debian dos vulnerabilidades en el gestor de bases de datos phpMyAdmin. Se recomienda su actualización a la mayor brevedad posible debido al impacto de las mismas en el sistema caso de ser explotadas.

La versión «oldstable» (lenny) no está afectada por estos problemas, para la rama actual estable (Squeeze), hay que actualizar phpMyAdmin a la versión 4:3.3.7-7., en la de pruebas «Whezzy» hay que actualizar a la 4:3.4.7.1-1.:

Referencias sobre los bugs (entre ellos un XSS).

In the Debian bugtracking system: Bug 656247.
In Mitre’s CVE dictionary: CVE-2011-1940, CVE-2011-3181, CVE-2011-4107.

Un mes más, te recomendamos el recopilatorio de entradas publicadas en Daboweb en Diciembre de 2011, por si en el día a día de la publicación, alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

diciembre 2011

• 31: Desde Daboweb os deseamos un feliz y seguro 2012
• 27: [Breves] Foros SMF 2.0.2 y 1.1.16 solventan vulnerabilidades críticas
• 27: Fallo de seguridad en el navegador de Android
• 24: Nuestra tarjeta de Navidad
• 22: [Breves] phpMyAdmin 3.4.9 solventa dos vulnerabilidades XSS
• 21: Pablo Soto, creador de programas P2P, es declarado inocente
• 21: Firefox 9 ya disponible para Windows, GNU/Linux y Mac OS X (cada vez más rápido)
• 14: Actualizaciones de Microsoft Diciembre de 2011
• 13: Megaupload demanda a la discográfica Universal
• 13: WordPress 3.3 “Sonny”. Versión final, descarga disponible
• 07: Revista electrónica de seguridad (IN)SECURE Magazine, número 32.
• 06: [Breves] Drupal 7.10 Released
• 04: 0-day en Yahoo Messenger
• 02: Publicado en Daboweb. Noviembre de 2011
• 01: [Breves] Abierto el registro para el Congreso de Seguridad Rooted CON 2012

La versión3.4.9 de phpMyAdmin ha sido liberada liberada cerrando dos agujeros de seguridad en el popular y tan usado gestor de bases de datos Open Source. Esta nueva versión solventa dos bugs XSS (cross-site-scripting) y se encuentran afectadas todas las de la rama 3.4x ,incluyendo la 3.4.8 por lo que es más que recomendable actualizar con brevedad.

Fuente | Notas de la versión.