feb 22 2010

Cómo ayudar en el desarrollo de Iceweasel (Firefox según Debian).

Si alguno se anima en la medida que pueda a ayudar al desarrollo de Debian Iceweasel (Mozilla Firefox hecho según la política de desarrollo y licencias de Debian GNU/Linux).

Debajo os pongo el mensaje que nos dejan cuando actualizamos a la versión 3.5.8 (no es nuevo de hecho). En Daboweb hemos publicado algo sobre estas nuevas versiones hablando de Firefox (3.5.8 y 3.0.18).

¡Iceweasel necesita tu ayuda!

Hay muchas formas de ayudar a mejorar Iceweasel sin ser desarrollador:

También hay muchas maneras de ayudar siendo desarrollador ;).

En todos estos casos, te interesará contactar con la lista de pkg-mozilla-maintainers

Así que ya sabéis, yo colaboro en lo que puedo reportando algún bug caso de que vea un fallo o algo susceptible de mejora, pero quizás seguro a ti se te da mejor el diseño que a mi y te atrevas con el nuevo logo, si te animas a apoyar a Iceweasel en la medida de tus posibilidades todos te lo agradeceremos -;).

Tags: , , , , , ,


nov 18 2009

Metasploit Framework 3.3 Released ya disponible (un año después-;).

btMe acaba de llegar desde su feed la noticia de que la versión 3.3 de Metasploit Framework acaba de ser liberada. Esta potente herramienta de seguridad (e IN-seguridad) incluye 446 exploits, 216 módulos auxiliares y cientos de “payloads“.

Han solventado 180 bugs desde la versión 3.2 que data de Noviembre del año pasado y se incluye soporte para NX, DEP, IPv6 y Windows 7. Os recuerdo que Metasploit es compatible con todas las plataformas y versiones de sistemas operativos actuales (GNU/Linux, BSD, Mac OS X, Windows, etc), incluso corre bajo Android o un iPhone.

Sed buenos, tiene muy buena pinta la verdad -;).

Anuncio original | Descarga | Info instalación todas las plataformas.

Tags: , , , , , , ,


jul 20 2009

Firefox 3.5 y su “semana negra” (versión 3.5.1 también vulnerable)

Category: Firefox | Iceweasel,Mi Opinión,Tecnologíadabo @ 12:15 am

mozilla-firefoxEstos días, la portada de Daboweb parece un “especial Firefox 3.5x” y es que llevamos una semana a vueltas con bug grave para versión 3.5, poco después versión de mantenimiento 3.5.1 que lo solventa y nueva vulnerabilidad para la versión 3.5.1 recién estrenada…

Esta claro que no corren buenos tiempos para nuestro querido zorro rojo, la versión 3.5x no empieza con buen pie, pero podéis estar (relativamente) tranquilos porque estoy convencido de que pronto será parcheado el bug que afecta a la 3.5.1.

Yo además, siempre prefiero “jugármela” con software libre donde te enteras de lo que hay y la propia comunidad se pone rápidamente manos a la obra para mejorar el software.

Mientras tanto precaución cuando se navega por lugares que no sean de confianza, esto aplicable también a los vínculos que os llegan vía e-mail o en los que se pincha en redes sociales, foros, etc.

Este último bug no es solventado en su totalidad por la más que recomendable extensión de Firefox – Iceweasel “NoScript” creada por Giorgio Maone, pero mejor que nada es. Con NoScript los primeros días puede que te agobies un poco configurando los sitios web de confianza y donde dejas que se ejecuten scripts en diferentes formatos, (Javascript, Flash con actionscript, o Java) pero es la manera ideal de estar protegido además frente a vulnerabilidades que aún no han sido reportadas y que suelen tener al motor de Javascript o su ejecución como protagonista.

Tags: , , , ,


mar 18 2009

Publicado en Daboweb, primera quincena de Marzo

Category: Otras Webs | Blogsdabo @ 1:33 am

Recopilatorio de entradas publicadas en Daboweb estas pasadas semanas. Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas.

Revista Foto DNG nº 31, descarga disponible en PDF

Actualizaciones de Microsoft Marzo 2009

Vulnerabilidad en Djbdns, (primera en años). Dan Bernstein pagará los 1000 $…

PHP 5.2.9, solventa 50 bugs en versiones 5.2.x. Urge actualizar

Cuentas de Spotify (música online) comprometidas

Firefox 3.0.7 Actualización de seguridad

Vulnerabilidad CSRF en Galerías Coppermine, actualización urgente

Alarga la vida y duración de la batería de tu MacBook (Battery Update 1.4)

Resumen de contenidos publicados en Daboweb (Febrero 2009)

Tags: , ,


nov 25 2008

WordPress 2.6.5, corrige varios bugs XSS

Category: Software | CMS,Webmasterdabo @ 11:03 pm

A la espera de la versión 2.7 de WordPress, hoy podemos ver el lanzamiento de la versión 2.6.5 que por cierto, la gente de WordPress se ha saltado muy elegantemente la versión 2.6.4 para que nadie se confundiera con la falsa versión 2.6.4 de WP de la que os hablamos hace unos días en Daboweb.

Esta nueva entrega corrige un ataque vía XSS exploit reportado por by Jeremias Reith, la vulnerabilidad se da en servidores virtuales basados en IP que se ejecuten bajo Apache en versiones 2.x por lo que es más que urgente al menos la actualización de dos ficheros (wp-includes/feed.php y wp-includes/version.php) si vuestro WordPress se aloja bajo estos parámetros.

De todos modos, si vuestro blog se aloja en un host compartido y os falta información para saber si os afecta, ante la duda parchear, pero no dejéis de actualizar a la versión completa (2.6.5) ya que solventa otro fallo (menor) XSS y mejora aspectos como la edición y revision de contenidos.

Descarga de WordPress 2.6.5 | Lista de cambios de la 2.6.3 a la 2.6.5

(Por cierto, como os comenté anteriormente, salvo temas de WordPress, todo lo relativo a cuestiones de seguridad en CMS lo publicaré únicamente en Daboweb, donde ya veo que Liamngls, acertada y rápidamente se ha hecho eco de la nueva versión, un ejemplo más de que para estar al día de lo que se cuece en estos temas, es aconsejable que os paséis por allí o leer aquí en la barra lateral las RSS de Daboweb).

Tags: , , , , , , ,


nov 10 2008

Foros SMF 1.1.7 (urge el update) + tutorial para actualizar SMF

Category: Software | CMS,Tutoriales | Guías,Webmasterdabo @ 9:44 pm

Hola amigos, como os dije el día 7, durante un tiempo estaré más centrado en Daboweb y me leeréis algo menos por aquí, estamos todos con muchas ganas y están viniendo viejos colegas a los foros de nuevo.

Pero como sé que unos cuantos que tenéis a bien seguirme usáis el sistema de foros SMF, os comento que hay una actualización bastante urgente de SMF en forma de la versión 1.1.7.

He preparado en Daboweb dentro del post un tutorial sobre como actualizar SMF (sin sustos-;). Me he basado para hacerlo más que nada en mi experiencia acumulada instalando o actualizando este software en los foros de Daboweb y también en los de Caborian

Acceso a; Foros SMF 1.1.7 + Tutorial para actualizar SMF (sin sustos-;)

Tags: , , , , ,


sep 28 2008

Clickjacking o como perder el control de los vínculos visitados en vuestro navegador

Category: Firefox | Iceweasel,Seguridad Informaticadabo @ 1:11 pm

Alguna vez os he hablado en el blog de Links o Lynx, navegadores en modo texto nada amigables en lo gráfico pero a la postre los más seguros viendo lo que se ve en la escena de los ataques a las sesiones del navegador.

Hoy se está hablando del Clickjacking o la pérdida de los vínculos que se visitan a traves del navegador que pueden ser “secuestrados” a través de un website malicioso manipulado para ese fin y por lo que he leido no es ninguna broma.

El asunto como os comento no puede ser tomado a la ligera ya que este grave bug no se explota por vulnerabilidades en Javascript que pueden ser bloqueadas por el uso de NoScript y que en este caso también las solventa este fallo afecta a navegadores como Firefox, Explorer, Adobe Flash, Safari, Opera, etc y los únicos que se libran son los que funcionan en modo texto.

Robert Hansen y Jeremiah Grossman han dado la voz de alarma y están avisando discrétamente a los fabricantes afectados para que implementen los parches adecuados en el software y Giorgio, el creador de NoScript, una vez habiendo visto como se explota esta vulnerabilidad, (viene a calificarla como devastadora) deja una opinión en su blog nada tranquilizadora…

Falta información del bug porque como digo se está filtrando a quienes deben tenerla, pero quiero pensar que los responsables de arreglar el entuerto están manos a la obra para parchear sus navegadores a la mayor brevedad posible, cosa que no será fácil porque el problema reside en niveles o capas más bajas del software y creo que tendrán que reescribir mucho código hasta solventarlo.

Está claro que ganan puntos los sitios de confianza, pero hasta quienes tienen/tenemos cuidado de no navegar por ciertos lugares, podemos en un momento dado ser vícitimas de un ataque de este tipo y sin querer entrar en la paranoia, os comento que cada vez (y no es por esto) navego más en modo texto con Links.

Visto en SeguInfo

(Gracias por el aviso Dest)

Tags: , , , , , , , , , , , ,


sep 28 2008

Firefox 3.0.3, actualiza si quieres recuperar tus contraseñas almacenadas

Category: Firefox | Iceweasel,Soft | Novedadesdabo @ 12:04 pm

Hace unos 3 días se liberó la versión 3.0.2 de Firefox y con ella vino un bug que afecta a las contraseñas almacenadas en el navegador que ha sido solventado rápidamente con esta versión 3.0.3 de Firefox.

What’s New in Firefox 3.0.3

Firefox 3.0.3 contains the following updates:

  • Fixed a problem where users were unable to retrieve saved passwords or save new passwords (bug 454708)

Descarga de Firefox 3.0.3

Tags: , , , , , ,


sep 14 2008

El LHC o “buscando la partícula de Dios”. Hackers y… ¿el fin del mundo por otro “Big Bang”?

Actualización 23/9/2008 > LHC averiado, 6 meses de reparación…(WTF)

Tranquilos por el título de esta entrada, no, no estoy bajo los efectos de ninguna extraña sustancia como puede ser el THC del Cannabis (no confundir con el LHC-;) ,

Tampoco son posibles títulos de una futura superproducción de Hollywood, sólo buscaba resumir todo lo que gira entorno al acelerador de partículas más famoso construido hasta la fecha. (Página oficial del proyecto LHC).

Como muchos ya sabréis, el sistema informático del LHC ha sufrido un ataque provocado por un grupo de hackers griegos poniendo en entredicho la seguridad de un sistema que más que ningún otro, debería ser (partiendo de la base de que no hay un sistema invulnerable) una fortaleza

Tomad asiento y leed con calma que es un Sábado noche y no quiero estresaros en exceso este fin de semana. Antes de entrar en materia, os voy a poner en antecendentes sobre el LHC, acrónimo de “Gran Colisionador de Hadrones“. Intentaré extractar contenido de Wikipedia, sitios especializados en Física y otras fuentes para comprender mejor este fenómeno que se puede calificar de “místico-físico-cuántico” en base a todo lo que leo en la red.

¿Qué es el LHC?.

Como os decía antes, el LHC o Gran Colisionador de Hadrones (Large Hadron Collider) es un acelerador y colisionador de partículas creado por el CERN (Conseil Européen pour la Recherche Nucléaire) o la también denominada Organización Europea para la Investigación Nuclear y se sitúa en la frontera franco-suiza (ubicación en Google Maps).

Para su funcionamiento, se ha construido un tunel bajo tierra de 27 Km de circunferencia donde se harán colisionar las partículas, os recomiendo ver esta galería de imágenes de alta calidad provenientes del CERN.

Es un proyecto muy ambicioso y sus comienzos datan de 1995, año en el que se dio la luz verde a su construcción. En su desarrollo participan científicos de todo el mundo (más de 2.000 pertenecientes a 34 paises), las cifras son mareantes en lo económico, para este año 2008 el presupuesto aprobado asciende a 660.515.000 euros, España costea un 8,3 %, casi 54.000.000 de euros…

¿Para qué sirve? (Buscando El Bosón de Higgs)

Bueno, si al igual que yo eres un neófito en estos temas, quédate con el concepto porque a mi esto me queda grande, de todos modos, lo bueno de escribir un blog, es que mientras divulgas aprendes pero después de leer y navegar buscando información durante horas para documentarme, “más o menos” se puede resumir en lo siguiente;

Todo se basa en la partícula másica conocida como “Bosón de Higgs“. La comunidad científica busca respuesta para uno de los eslabones o “enlaces perdidos” del modelo estándar de la física. El interés en observar como se comportan o interactúan los bosones de Higgs viene dado porque esta es la única partícula citada en el modelo estándar que no ha sido comprobada.

Esto no ha sido posible ya que se necesita una cantidad tan bestial de energía, que sólo con algo tan mastodóntico como el LHC podrá ser testado.

Si el LHC consigue lograr su cometido, llegaremos a comprender como adquieren el resto de partículas elementales propiedades como su masa, también cobraría sentido la teoría de la gran unificación, la cual pretende unificar tres de las cuatro fuerzas fundamentales (quedando fuera de ellas sólo la gravedad) pudiendo comprender también el motivo de que la gravedad sea la fuerza más débil de todas.

La apuesta es muy fuerte ya que la fuerza energética resultante de los protones que en este experimento son acelerados a velocidades del 99% de la luz llegando a chocar entre sí en direcciones diametralmente opuestas, generarían una energía tan alta que sería posible simular situaciones que se dieron durante o nada más finalizar el big bang. Dicho de otro modo, se buscan también respuestas para conocer el origen del universo…o quizás también si existe una cuarta dimensión.

Si el Bosón de Higgs llega a producirse en este macro-experimento realizado en este gigantesco laboratorio subterráneo, también se iniciará la búsqueda de los strangelets, los micro agujeros negros, el monopolo magnético o las partículas supersimétricas

¿La partícula de Dios?

A el bosón de Higgs, también se le conoce como “la partícula de Dios”, aquí puede ir ese componente “místico-físico-cuántico” que os comentaba al principio y proviene de un libro publicado en 1993 por Leon Lederman, (Nóbel de física en 1988) y Dick Teresi titulado “La partícula de Dios. Si el Universo es la respuesta, ¿cuál es la Pregunta?”. Este libro está considerado como más bien de divulgación científica que estrictamente “cientifico”.

¿Cuándo empieza esta “fiesta”?

La puesta en marcha del LHC fue el pasado Miércoles 10 de Septiembre a las 9:30 h de Suiza, donde por ese tunel de 27 kilómetros de largo circularon 6.500 magnetos en dos fases (en el sentido de las agujas del reloj y en contra después) parándolos en 8 puntos para asegurarse de que la ruta emprendida fuera perfecta, con una ligera desviación en el punto 6 (corregida sobre la marcha) que estuvo cerca de echar al traste el experimento. El tiempo total del recorrido fue de unos 50 minutos…

Según la comunidad científica fue todo un éxito y ese estreno no estuvo exento de sustos de última hora, el mismo lunes se descubrieron varios problemas que fueron solucionados imagino en un ambiente muy tenso, no es para menos ¿no?. El problema vino dado por un fallo en la temperatura del tunel.

Las condiciones que se tienen que dar dentro del tunel son muy específicas, la temperatura tiene que ser 1,9 K, menos de 2 grados sobre el cero absoluto, (- 271,25 °C) y aún está enfriándose (imaginaos una nevera de 27 Km de largo y con el diámetro que se ve en las fotos-;). La más mínima desviación térmica arruinaria el proyecto, os daré un dato, en el caso de que uno de los magnetos que circulan por el tunel esté un grado más caliente de lo estipulado, se acabó la “fiesta”…

Leer el resto de;”El LHC o “buscando la partícula de Dios”. Hackers y… ¿el fin del mundo por otro “Big Bang”?”

Tags: , , , , , , , , , , ,


sep 12 2008

Foros SMF, nueva versión 1.1.6 (ojo foros bajo Servidores Windows) y 2.0 Beta 4, descarga disponible

Category: Software | CMS,Webmasterdabo @ 2:37 am

Estos días he andado con lío y no he podido hacerme eco de estos lanzamientos a su debido tiempo (voy con unos 2-3 días de retraso-;)

Pero por lo que he visto, mucha gente no se ha enterado y hace unas horas que los avisos de actualización han salido en el panel de admin de los foros, hablo de la nueva versión 1.1.6 de SMF

Si vuestro foro SMF version 1.1.5 o anterior está alojado en un servidor bajo Windows, tenéis que actualizarlo a la mayor brevedad posible ya que se ha reportado una grave vulnerabilidad que lleva a una escalada de privilegios mediante un exploit que está circulando ya por la red hace unos días valiéndose de un bug que afecta a la función rand(). Sobra decir que si corre bajo GNU/Linux también es necesario actualizar

También está disponible para su descarga la versión 2 beta 4 (aún no la he probado, lo haré) (lista de cambios).

Sólo comentaros que después de haber actualizado Daboweb foros y Caborian foros, os informo de que el “upgrade.php” que escribe los cambios sobre la base de datos tarda en ejecutarse, (realiza más cambios de lo habitual) tened paciencia si vuestra base de datos tiene un volumen importante.

Revisad luego los permisos de fichero (chmod) y propiedad del fichero (usuario y grupo, comando chown). Recordad hacer un backup antes de actualizar de la base y los ficheros del foro y poned antes de parchear el idioma del foro en Inglés, luego lo podéis cambiar tranquilamente. Pero lo mejor es que leáis el “readme.html”.

Más información sobre SMF 1.1.6 y SMF 2.0 Beta 4 | Página de descargas de SMF.

Tags: , , , , , , , ,


sep 10 2008

Joomla 1.5.7 Security Release, urge actualizar

Category: Soft | Novedades,Software | CMS,Webmasterdabo @ 1:46 am

Han pasado cuatro semanas desde que la comunidad de Joomla! liberase la versión 1.5.6 de su popular gestor de contenidos y ya tenemos esta nueva versión 1.5.7 que viene a corregir varios fallos de seguridad en el CMS.

Desde Joomla y como se puede ver en las notas de la versión aconsejan actualizar a la mayor brevedad posible, Concrétamente solventa un bug crítico, otro mayor y dos moderados además de proporcionar diversas mejoras en el funcionamiento de Joomla!;

Aquí va la lista de cambios para Joomla 1.5.7.

Security

  • Several security issues were fixed in this release. There was 1 critical, 1 major and 2 moderate security vulnerabilities fixed in 1.5.7. For more information, visit the Security Center.

Articles

  • com_content: Metadata handling; Alias not copied for Articles
  • String Escaping: External links; Titles; Alt tags missing on images
  • Blog Layout: Article Page break; new Left-to-Right option; Breadcrumbs; Archive Intro Text formatting issues; Section Blog Article links
  • Submit Article: Article Order Drop-Down List on Front End Shows Archived and Trashed Articles; Preview edited Article does not use Template Editor.css
  • RSS Feed: Publish Date fix; External URLs rendering incorrectly
  • SEO: Index and Follow Meta Tag for Print View

Modules

  • Show_noauth problem; Module Deletion after uninstall; Colspan in mod_latest; Copy Newsflash Module
  • Name and Username in mod_login; Menu item is locked after closing
  • Search: Textfield Width Parameter; Show Search Results option; Category Search

Legacy

  • Menu Access Rights Corrections; Menu Separator shows as Link

Templates

  • Beez: Contact Image; Typo in Attribute value; Newsflash Article URL
  • ja_purity: e-Mail and Print Button files; Default Article Layout does not display Edit Icon for Authors; Site Logo Text goes under Header background; Top menu

Administrator

  • $row is not Initialized
  • Help: Latest Version check; Help Key Reference Update for Modules: New Screen
  • Configuration: Time Zone correction
  • Media Manager: Base path missing slashes
  • Sample Content: Outdated Links in “Welcome to Joomla”, Newsfeed Fixes, several updated articles and statistics
  • Installation: Remove confusing error message about language files for extension installations

System

  • IIS 6 and IIS 7: JRoute::_() and Application Redirect() fixes
  • Parameter Types: SQL, Textarea for Templates
  • E-mail: JMail class ignores JConfig.sendmail path for sendmail; Incorrect SEF URLs for outgoing recommendation e-mails
  • API: JHTMLSelect fix; queryBatch logging in debug mode; JSite::getParams(); strpos(); setMetadata creates duplicate meta tags; $row is not initialized
  • XML-RPC client ID is too high; Profiling J1.5 framework; $row is not initialized
  • Cache: JCacheStorageFile::gc flawed logic in cache expiry; Clean Cache file with Cache Manager

Descarga de Joomla 1.5.7 y más info.

(Se actualiza muy bien, bajáis el patch y soltáis el tar.gz o zip en la ráiz del sistema, sobre-escribis y listo, no olvidéis repasar permisos con CHMOD y usuarios y grupo con CHOWN cuando acabéis)

Tags: , , , , , , , , ,


ago 13 2008

Joomla! 1.5.6, security update (bug muy grave, actualiza ya tu 1.5.x) y parche rápido.

Category: Seguridad Informatica,Software | CMS,Webmasterdabo @ 11:17 pm

Hola amigos, como viene siendo habitual me hago eco de una grave vulnerabilidad que afecta a Joomla! 1.5.5 y versiones anteriores con resultados devastadores. (He hecho alguna prueba y os aseguro que no es alarmismo)

No voy a poner el código del exploit (que ya lo vi ayer día 12) ni el link, pero si que os comento que es de muy sencilla aplicación, usándolo en combinación con la típica opción de “olvidé mi contraseña” un usuario no autorizado se convierte “fácilmente” en administrador y…adiós Joomla!.

Si quieres parchear únicamente este bug antes de actualizar todo el CMS puedes hacerlo del modo que comentan en la web de desarrollo de Joomla!;

Busca en /components/com_user/models/reset.php

Despúes de; global $mainframe; en la línea 113 de reset.php, añade:

if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

Y el tema quedará resuelto, pero por favor, comprueba la fuente original en Joomla! (hazlo siempre porque podemos confundirnos en algún punto y meter la pata, siempre la web con la info original en temas de estos).

Más info y descarga de Joomla! 1.5.6

Technorati Tags: , , , , , , ,

Tags: , , , , ,


« Página anteriorPágina siguiente »