DaboBlog

Llevaba unos meses con el registro desactivado en el blog porque estaba un poco harto de los registros automatizados de spammers.

Bien es cierto que no llegaban a escribir o meter spam en los comentarios, más que nada por este plugin en el que definí que pasados 30 días, los comentarios fueran desactivados automáticamente en una entrada, pero me iban engordando la lista de nuevos usuarios además de llegarme todo el día mails de registro de nuevos usuarios que realmente no lo eran.

Había probado alguna solución que se basaba en un código Captcha habilitado en la zona del registro pero no acaba de ir bien y al final he dado con la que al menos a mi me ha parecido la más acertada.

Register plus.

Es un plugin (con las opciones en castellano) que ofrece unas funciones más que interesantes para blogs con registro de usuarios activado, un breve resumen de las funciones más útiles;

• Permitir o no que los usuarios puedan escoger su contraseña en el registro (por defecto WP envía una aleatoria)
• Establecer un valor de fuerza de la contraseña personalizando el mensaje a mostrar sobre su fortaleza o no.
• Prevenir registros con mails falsos mediante el envío de una url de confirmación al correo para validar el registro.
• Habilitar códigos de invitación para blogs super-mega-exclusivos :D (no es mi caso-;)
• Establecer un código captcha en el registro con Simple CAPTCHA o reCAPTCHA (lo más útil para mi)
• Incluir en el proceso de registro un cuadro de texto con las condiciones de uso y política de privacidad.
• Permitir o no correos duplicados en los usuarios registrados.
• Definir que campos (nombre, web, etc) para cumplimentar quieres que aparezcan en el momento del registro.

Descarga de Register plus.

reCAPTCHA.

Necesario para usarlo con Register plus porque el plugin os pedirá una clave pública y privada de reCAPTCHA que conseguiréis fácilmente después de registraros en su website e incluir la url de vuestro blog para generar las claves. Es un sistema de protección gratuito frente a robots y spammers que no solo se usa para Wordpress (Interesante “E-mail protection”).

Una vez generadas las claves pública y privada solo tenéis que introducirlas en los campos a rellenar en las opciones de “Register Plus”;

reCAPTCHA clave pública:

Finalmente y muy importante, en el fichero wp-login.php tenéis que incluir (podéis hacerlo arriba del todo) el siguente código para que funcione.

<?php session_start(); ?>

WP Hide Dashboard

Un plugin que hace que cuando un usuario que no sea administrador entre conectado al blog, no vea el tablero o “Dashboard” que contiene una información por defecto (me parece un fallo por parte de Wordpress) que puede resultar sensible según en que casos. Descarga de WP Hide Dashboard.

En esta entrada de hace más de un año ya hablé de los posibles peligros de tener el tablero visible y como evitarlo.

Podéis ver el resultado en mi área de registro de usuarios (activado de nuevo)

Espero que al igual que a mi os haya resultado una información útil -;).

Comparte este contenido de DaboBlog

Technorati Tags: Blogs, CMS, Dashboard, reCAPTCHA, Register plus, Seguridad Informatica, Spam, Trucos, Webmaster, Wordpress

Entradas relacionadas

• Wordpress y registro de usuarios, bug que permite el robo de mails y más info (0)
• Wordpress 2.6.2 (actualizado) Security Release, urge el update con usuarios registrados (3)
• Wordpress 2.5.1, requiere actualización inmediata, sobre todo con usuarios registrados (6)
• ¿Por qué Wordpress.com no dice nada? ¿Por qué no bloquean a Wordproxy el acceso a sus servidores? (5)

Tags: Blogs, CMS, Dashboard, reCAPTCHA, Register plus, Seguridad Informatica, Spam, Trucos, Webmaster, Wordpress

A continuación y tal y como os comenté en este post hace unos días, os resumo el contenido que hemos publicado en Daboweb esta semana.

Entrevista a Dabo en blogoff
Múltiples vulnerabilidades en Apple Safari. Actualiza a la versión 3.2
Firefox 2.0.0.18 y Firefox 3.0.4 solventan vulnerabilidades críticas
Foros phpBB 3.0.3, descarga disponible. Urge actualizar
Microsoft update noviembre 2008
Joomla! 1.5.8, descarga disponible, 71 bugs solventados.
Vulnerabilidades en Apple iLife y Aperture 2.x
(Actualización urgente) Foros SMF versión 1.1.7 y tutorial para actualizar

Los comentarios a estos post los recogemos en el foro de noticias.

Comparte este contenido de DaboBlog

Technorati Tags: Blogs, Cibercultura, CMS, Daboweb, Seguridad Informatica

Entradas relacionadas

• Daboweb, 6 años online… (14)
• ¿Por qué Wordpress.com no dice nada? ¿Por qué no bloquean a Wordproxy el acceso a sus servidores? (5)
• Ataque o réplica total de todos los blogs alojados en Wordpress.com (info actualizada) (13)
• Wordpress y registro de usuarios, bug que permite el robo de mails y más info (0)

Tags: Blogs, Cibercultura, CMS, Daboweb, Seguridad Informatica

Quien nos iba a decir que al final, el “cracking” a gran escala lo iba a realizar una tarjeta gráfica y a las velocidades que se están pudiendo ver según leo en Barrapunto.

Esto no es tan nuevo, ya se ha hablado de ello y en muchos sitios sobre el uso de las tarjetas gráficas NVIDIA GPU con toda su potencia de cálculo para romper múltiples tipos de claves con el programita de ElcomSoft, pero ahora, le toca a las Wi-Fi bajo WPA o WPA/2 (estas últimas con cifrado AES).

Todo este festival de “inseguridad informática” (¿por qué diremos todos “seguridad informática?) lo protagoniza junto a las NVIDIA GPU el programa ElcomSoft Distributed Password Recovery y si de un modo “normal” con este software y una NVIDIA GPU podemos intentar romper una clave unas 20 veces más rápido que con un Core2 Duo, no os cuento de un modo distribuido como puede ser…

Esta es la lista de tipos de claves que puede romper el programa en cuestión;

* Microsoft Word/Excel/PowerPoint/Project 2007 (.DOCX, .XLSX, .PPTX, .MSPX) (password recovery -
“open” password only) (GPU accelerated!)
* Microsoft Word/Excel/PowerPoint XP/2003 (.DOC, .XLS, .PPT) (password recovery - “open” password only)
* Microsoft Word/Excel 97/2000 (.DOC, .XLS) (password recovery - “open” password only)
* Microsoft Word/Excel 97/2000 (.DOC, .XLS) (guaranteed decryption)
* Microsoft Money (password recovery)
* Microsoft OneNote (password recovery)
* OpenDocument (ODF): documents, spreadsheets, presentations, graphics/drawing, formulae (password recovery)
* PGP: zip archives (.PGP), PGP disks with conventional encryption (.PGD),
self-decrypting archives (.EXE), whole disk encryption,secret key rings (.SKR) (password/passphrase recovery)
* Personal Information Exchange certificates - PKCS #12 (.PFX, .P12) (password recovery)
* Adobe Acrobat PDF files (”user” and “owner” password recovery)
* Adobe Acrobat PDF files with 40-bit encryption (guaranteed decryption)
* Windows NT/2000/XP/2003/Vista logon passwords (LM/NTLM) (password recovery) (GPU accelerated!)
* Windows SYSKEY startup passwords (password recovery)
* Windows DCC (Domain Cached Credentials) passwords (password recovery)
* UNIX users’ passwords (password audit/recovery)
* Intuit Quicken (.QDF) (password recovery)
* Lotus Notes ID files (password recovery)
* MD5 hashes (plaintext recovery) (GPU accelerated!)
* Oracle users’ passwords (password audit/recovery)
* WPA and WPA2 passwords (password recovery) (GPU accelerated!)

Vale, habrá que decir eso de “recuperar tu password perdido” como dicen ellos que es más políticamente correcto, pero no cabe duda de que las cosas están cambiando y creo que al final acabaremos conectándonos a la Red con un mítico cable que si, será muy anticuado o “1.0″ pero es obvio que es lo más seguro frente a los ataques a las débiles redes Wi-Fi, sniffers y demás cabronerías electrónicas…

Lo que tengo muy claro y es en base a mi propia experiencia realizando ataques caseros a mi propia red es lo siguiente; Si el cifrado va sobre WPA/2 mejor, también ocultar el nombre de la red, capar la conexión salvo a tu dirección Mac, reducir la potencia de la señal (en algunos routers se puede), desactivar DCHP, poner una clave que no esté en un diccionario y sobre todo, cuanto más larga sea la clave y que además tenga mezclas de números, símbolos, mayúsculas y minúsculas combinadas mejor que mejor.

Danae preparó para Daboweb el año pasado un tutorial sobre como asegurar redes Wi-fi, orientado a Windows pero válido para otros sistemas operativos porque las opciones son las mismas aunque la forma de llegar a ellas pueda variar, os lo recomiendo.

Tampoco vayáis ahora a pensar que vuestro vecino va a estar con una NVIDIA GPU y ese programa atacando tu red Wi-Fi, pero quedaros con el mensaje de fondo y extraer vuestras propias conclusiones…

Comparte este contenido de DaboBlog

Technorati Tags: Cibercultura, Hacking, NVIDIA GPU, Router, Seguridad Informatica, Software, Wi-FI

Entradas relacionadas

• Y Debian GNU/Linux tiene lo que se merece. (Hasta siempre Mac OS X-;) (19)
• Universal Man-in-the-Middle Phishing Kit, por solo 772 € !! (3)
• Según Acunetix 7 de cada 10 webs son vulnerables, Joel Snyder apuesta 1000 $ a que no. (4)
• Manual para asegurar tu red Wi-fi (Windows) (2)

Tags: Cibercultura, Hacking, NVIDIA GPU, Router, Seguridad Informatica, Software, Wi-FI

Alguna vez os he hablado en el blog de Links o Lynx, navegadores en modo texto nada amigables en lo gráfico pero a la postre los más seguros viendo lo que se ve en la escena de los ataques a las sesiones del navegador.

Hoy se está hablando del Clickjacking o la pérdida de los vínculos que se visitan a traves del navegador que pueden ser “secuestrados” a través de un website malicioso manipulado para ese fin y por lo que he leido no es ninguna broma.

El asunto como os comento no puede ser tomado a la ligera ya que este grave bug no se explota por vulnerabilidades en Javascript que pueden ser bloqueadas por el uso de NoScript y que en este caso también las solventa este fallo afecta a navegadores como Firefox, Explorer, Adobe Flash, Safari, Opera, etc y los únicos que se libran son los que funcionan en modo texto.

Robert Hansen y Jeremiah Grossman han dado la voz de alarma y están avisando discrétamente a los fabricantes afectados para que implementen los parches adecuados en el software y Giorgio, el creador de NoScript, una vez habiendo visto como se explota esta vulnerabilidad, (viene a calificarla como devastadora) deja una opinión en su blog nada tranquilizadora…

Falta información del bug porque como digo se está filtrando a quienes deben tenerla, pero quiero pensar que los responsables de arreglar el entuerto están manos a la obra para parchear sus navegadores a la mayor brevedad posible, cosa que no será fácil porque el problema reside en niveles o capas más bajas del software y creo que tendrán que reescribir mucho código hasta solventarlo.

Está claro que ganan puntos los sitios de confianza, pero hasta quienes tienen/tenemos cuidado de no navegar por ciertos lugares, podemos en un momento dado ser vícitimas de un ataque de este tipo y sin querer entrar en la paranoia, os comento que cada vez (y no es por esto) navego más en modo texto con Links.

Visto en SeguInfo

(Gracias por el aviso Dest)

Comparte este contenido de DaboBlog

Technorati Tags: Adobe, Bugs, Clickjacking, Explorer, Firefox | Iceweasel, Flash, links, lynx, Navegador, Opera, Safari, Seguridad Informatica, webs

Entradas relacionadas

• Firefox 3.0.3, actualiza si quieres recuperar tus contraseñas almacenadas (0)
• Wordpress 2.1.10 y 2.1.3 RC2 (corrigen Cross Site Scripting) (2)
• Safari puede reducir la velocidad del sistema un 76% frente a Firefox (0)
• Microsoft quiere que pase de mis navegadores IceWeasel y Konqueror (lo tenéis claro-;) (15)

Tags: Adobe, Bugs, Clickjacking, Explorer, Firefox | Iceweasel, Flash, links, lynx, Navegador, Opera, Safari, Seguridad Informatica, webs

Actualización 23/9/2008 > LHC averiado, 6 meses de reparación…(WTF)

Tranquilos por el título de esta entrada, no, no estoy bajo los efectos de ninguna extraña sustancia como puede ser el THC del Cannabis (no confundir con el LHC-;) ,

Tampoco son posibles títulos de una futura superproducción de Hollywood, sólo buscaba resumir todo lo que gira entorno al acelerador de partículas más famoso construido hasta la fecha. (Página oficial del proyecto LHC).

Como muchos ya sabréis, el sistema informático del LHC ha sufrido un ataque provocado por un grupo de hackers griegos poniendo en entredicho la seguridad de un sistema que más que ningún otro, debería ser (partiendo de la base de que no hay un sistema invulnerable) una fortaleza…

Tomad asiento y leed con calma que es un Sábado noche y no quiero estresaros en exceso este fin de semana. Antes de entrar en materia, os voy a poner en antecendentes sobre el LHC, acrónimo de “Gran Colisionador de Hadrones“. Intentaré extractar contenido de Wikipedia, sitios especializados en Física y otras fuentes para comprender mejor este fenómeno que se puede calificar de “místico-físico-cuántico” en base a todo lo que leo en la red.

¿Qué es el LHC?.

Como os decía antes, el LHC o Gran Colisionador de Hadrones (Large Hadron Collider) es un acelerador y colisionador de partículas creado por el CERN (Conseil Européen pour la Recherche Nucléaire) o la también denominada Organización Europea para la Investigación Nuclear y se sitúa en la frontera franco-suiza (ubicación en Google Maps).

Para su funcionamiento, se ha construido un tunel bajo tierra de 27 Km de circunferencia donde se harán colisionar las partículas, os recomiendo ver esta galería de imágenes de alta calidad provenientes del CERN.

Es un proyecto muy ambicioso y sus comienzos datan de 1995, año en el que se dio la luz verde a su construcción. En su desarrollo participan científicos de todo el mundo (más de 2.000 pertenecientes a 34 paises), las cifras son mareantes en lo económico, para este año 2008 el presupuesto aprobado asciende a 660.515.000 euros, España costea un 8,3 %, casi 54.000.000 de euros…

¿Para qué sirve? (Buscando El Bosón de Higgs)

Bueno, si al igual que yo eres un neófito en estos temas, quédate con el concepto porque a mi esto me queda grande, de todos modos, lo bueno de escribir un blog, es que mientras divulgas aprendes pero después de leer y navegar buscando información durante horas para documentarme, “más o menos” se puede resumir en lo siguiente;

Todo se basa en la partícula másica conocida como “Bosón de Higgs“. La comunidad científica busca respuesta para uno de los eslabones o “enlaces perdidos” del modelo estándar de la física. El interés en observar como se comportan o interactúan los bosones de Higgs viene dado porque esta es la única partícula citada en el modelo estándar que no ha sido comprobada.

Esto no ha sido posible ya que se necesita una cantidad tan bestial de energía, que sólo con algo tan mastodóntico como el LHC podrá ser testado.

Si el LHC consigue lograr su cometido, llegaremos a comprender como adquieren el resto de partículas elementales propiedades como su masa, también cobraría sentido la teoría de la gran unificación, la cual pretende unificar tres de las cuatro fuerzas fundamentales (quedando fuera de ellas sólo la gravedad) pudiendo comprender también el motivo de que la gravedad sea la fuerza más débil de todas.

La apuesta es muy fuerte ya que la fuerza energética resultante de los protones que en este experimento son acelerados a velocidades del 99% de la luz llegando a chocar entre sí en direcciones diametralmente opuestas, generarían una energía tan alta que sería posible simular situaciones que se dieron durante o nada más finalizar el big bang. Dicho de otro modo, se buscan también respuestas para conocer el origen del universo…o quizás también si existe una cuarta dimensión.

Si el Bosón de Higgs llega a producirse en este macro-experimento realizado en este gigantesco laboratorio subterráneo, también se iniciará la búsqueda de los strangelets, los micro agujeros negros, el monopolo magnético o las partículas supersimétricas

¿La partícula de Dios?

A el bosón de Higgs, también se le conoce como “la partícula de Dios”, aquí puede ir ese componente “místico-físico-cuántico” que os comentaba al principio y proviene de un libro publicado en 1993 por Leon Lederman, (Nóbel de física en 1988) y Dick Teresi titulado “La partícula de Dios. Si el Universo es la respuesta, ¿cuál es la Pregunta?”. Este libro está considerado como más bien de divulgación científica que estrictamente “cientifico”.

¿Cuándo empieza esta “fiesta”?

La puesta en marcha del LHC fue el pasado Miércoles 10 de Septiembre a las 9:30 h de Suiza, donde por ese tunel de 27 kilómetros de largo circularon 6.500 magnetos en dos fases (en el sentido de las agujas del reloj y en contra después) parándolos en 8 puntos para asegurarse de que la ruta emprendida fuera perfecta, con una ligera desviación en el punto 6 (corregida sobre la marcha) que estuvo cerca de echar al traste el experimento. El tiempo total del recorrido fue de unos 50 minutos…

Según la comunidad científica fue todo un éxito y ese estreno no estuvo exento de sustos de última hora, el mismo lunes se descubrieron varios problemas que fueron solucionados imagino en un ambiente muy tenso, no es para menos ¿no?. El problema vino dado por un fallo en la temperatura del tunel.

Las condiciones que se tienen que dar dentro del tunel son muy específicas, la temperatura tiene que ser 1,9 K, menos de 2 grados sobre el cero absoluto, (- 271,25 °C) y aún está enfriándose (imaginaos una nevera de 27 Km de largo y con el diámetro que se ve en las fotos-;). La más mínima desviación térmica arruinaria el proyecto, os daré un dato, en el caso de que uno de los magnetos que circulan por el tunel esté un grado más caliente de lo estipulado, se acabó la “fiesta”…

Haz click aquí para leer el resto del contenido “El LHC o “buscando la partícula de Dios”. Hackers y… ¿el fin del mundo por otro “Big Bang”?”

Comparte este contenido de DaboBlog

Technorati Tags: Actualidad, Big Bang, Bugs, CERN, Cibercultura, Ciencia, Cuantica, Fisica, GNU/Linux, Hacking, LHC, Seguridad Informatica

Entradas relacionadas

• Analiza las vulnerabilidades de tu sistema GNU/Linux con Sussen (By Goldfinger) (2)
• Y Debian GNU/Linux tiene lo que se merece. (Hasta siempre Mac OS X-;) (19)
• Vulnerabilidad XSS en Blogs de “Blogger” bajo Safari y Konqueror. (1)
• Universal Man-in-the-Middle Phishing Kit, por solo 772 € !! (3)

Tags: Actualidad, Big Bang, Bugs, CERN, Cibercultura, Ciencia, Cuantica, Fisica, GNU/Linux, Hacking, LHC, Seguridad Informatica

Estos días he andado con lío y no he podido hacerme eco de estos lanzamientos a su debido tiempo (voy con unos 2-3 días de retraso-;)

Pero por lo que he visto, mucha gente no se ha enterado y hace unas horas que los avisos de actualización han salido en el panel de admin de los foros, hablo de la nueva versión 1.1.6 de SMF

Si vuestro foro SMF version 1.1.5 o anterior está alojado en un servidor bajo Windows, tenéis que actualizarlo a la mayor brevedad posible ya que se ha reportado una grave vulnerabilidad que lleva a una escalada de privilegios mediante un exploit que está circulando ya por la red hace unos días valiéndose de un bug que afecta a la función rand(). Sobra decir que si corre bajo GNU/Linux también es necesario actualizar

También está disponible para su descarga la versión 2 beta 4 (aún no la he probado, lo haré) (lista de cambios).

Sólo comentaros que después de haber actualizado Daboweb foros y Caborian foros, os informo de que el “upgrade.php” que escribe los cambios sobre la base de datos tarda en ejecutarse, (realiza más cambios de lo habitual) tened paciencia si vuestra base de datos tiene un volumen importante.

Revisad luego los permisos de fichero (chmod) y propiedad del fichero (usuario y grupo, comando chown). Recordad hacer un backup antes de actualizar de la base y los ficheros del foro y poned antes de parchear el idioma del foro en Inglés, luego lo podéis cambiar tranquilamente. Pero lo mejor es que leáis el “readme.html”.

Más información sobre SMF 1.1.6 y SMF 2.0 Beta 4 | Página de descargas de SMF.

Comparte este contenido de DaboBlog

Technorati Tags: actualizacion, Bugs, CMS, foro, Seguridad Informatica, SMF, Software, Webmaster, webs

Entradas relacionadas

• Joomla 1.5.7 Security Release, urge actualizar (0)
• Wordpress 2.6.2 (actualizado) Security Release, urge el update con usuarios registrados (3)
• Wordpress 2.1.10 y 2.1.3 RC2 (corrigen Cross Site Scripting) (2)
• Foros SMF 1.1.7 (urge el update) + tutorial para actualizar SMF (0)

Tags: actualizacion, Bugs, CMS, foro, Seguridad Informatica, SMF, Software, Webmaster, webs

Han pasado cuatro semanas desde que la comunidad de Joomla! liberase la versión 1.5.6 de su popular gestor de contenidos y ya tenemos esta nueva versión 1.5.7 que viene a corregir varios fallos de seguridad en el CMS.

Desde Joomla y como se puede ver en las notas de la versión aconsejan actualizar a la mayor brevedad posible, Concrétamente solventa un bug crítico, otro mayor y dos moderados además de proporcionar diversas mejoras en el funcionamiento de Joomla!;

Aquí va la lista de cambios para Joomla 1.5.7.

Security

• Several security issues were fixed in this release. There was 1 critical, 1 major and 2 moderate security vulnerabilities fixed in 1.5.7. For more information, visit the Security Center.

Articles

• com_content: Metadata handling; Alias not copied for Articles
• String Escaping: External links; Titles; Alt tags missing on images
• Blog Layout: Article Page break; new Left-to-Right option; Breadcrumbs; Archive Intro Text formatting issues; Section Blog Article links
• Submit Article: Article Order Drop-Down List on Front End Shows Archived and Trashed Articles; Preview edited Article does not use Template Editor.css
• RSS Feed: Publish Date fix; External URLs rendering incorrectly
• SEO: Index and Follow Meta Tag for Print View

Modules

• Show_noauth problem; Module Deletion after uninstall; Colspan in mod_latest; Copy Newsflash Module
• Name and Username in mod_login; Menu item is locked after closing
• Search: Textfield Width Parameter; Show Search Results option; Category Search

Legacy

• Menu Access Rights Corrections; Menu Separator shows as Link

Templates

• Beez: Contact Image; Typo in Attribute value; Newsflash Article URL
• ja_purity: e-Mail and Print Button files; Default Article Layout does not display Edit Icon for Authors; Site Logo Text goes under Header background; Top menu

Administrator

• $row is not Initialized
• Help: Latest Version check; Help Key Reference Update for Modules: New Screen
• Configuration: Time Zone correction
• Media Manager: Base path missing slashes
• Sample Content: Outdated Links in “Welcome to Joomla”, Newsfeed Fixes, several updated articles and statistics
• Installation: Remove confusing error message about language files for extension installations

System

• IIS 6 and IIS 7: JRoute::_() and Application Redirect() fixes
• Parameter Types: SQL, Textarea for Templates
• E-mail: JMail class ignores JConfig.sendmail path for sendmail; Incorrect SEF URLs for outgoing recommendation e-mails
• API: JHTMLSelect fix; queryBatch logging in debug mode; JSite::getParams(); strpos(); setMetadata creates duplicate meta tags; $row is not initialized
• XML-RPC client ID is too high; Profiling J1.5 framework; $row is not initialized
• Cache: JCacheStorageFile::gc flawed logic in cache expiry; Clean Cache file with Cache Manager

Descarga de Joomla 1.5.7 y más info.

(Se actualiza muy bien, bajáis el patch y soltáis el tar.gz o zip en la ráiz del sistema, sobre-escribis y listo, no olvidéis repasar permisos con CHMOD y usuarios y grupo con CHOWN cuando acabéis)

Comparte este contenido de DaboBlog

Technorati Tags: actualizacion, Blogs, Bugs, CMS, Joomla, Seguridad Informatica, Software, sofware libre, Webmaster, webs

Entradas relacionadas

• Foros SMF, nueva versión 1.1.6 (ojo foros bajo Servidores Windows) y 2.0 Beta 4, descarga disponible (0)
• Wordpress 2.6.2 (actualizado) Security Release, urge el update con usuarios registrados (3)
• Joomla! 1.5.6, security update (bug muy grave, actualiza ya tu 1.5.x) y parche rápido. (4)
• Joomla! 1.0.15, urge actualizar (y añado, Drupal 6.1, actualización de seguridad) (7)

Tags: actualizacion, Blogs, Bugs, CMS, Joomla, Seguridad Informatica, Software, sofware libre, Webmaster, webs

Hola amigos, en estos momentos ya está disponible para su descarga la versión 2.6.2 estable de Wordpress. Puede que al igual que en mi caso, no os salga ni el panel de administración, tampoco lo he visto en el blog de desarrollo ni me ha llegado el mail de la lista de correo de WP pero lo importante es que está -;).

En esta ocasión ha sido leyendo el feed de Mangas Verdes, todavía no he podido ver las notas de la versión pero como siempre, yo actualizo (previo tar.gz del blog y dump de la base de datos) aunque se diga como en el caso de la 2.6.1 que eran cambios y mejoras menores y que no era necesario actualizar desde la 2.6.0.

Como dato útil sobre el update os comento que por lo que acabo de ver, esta versión 2.6.2 no interactua con la base de datos (supongo porque venía de una 2.6.1) puesto que al ejecutar el /upgrade.php ha salido un;

No se necesita Actualización

¡Tu base de datos de WordPress ya está actualizada!

Os invito al igual que en anteriores ocasiones, darle un vistazo al tutorial de actualización de Wordpress que hicimos hace tiempo en Daboweb y como recomendación personal, no está de más que miréis si hay alguna nueva versión del template (plantilla) que uséis en el blog.

Hay que dar las gracias a todo el equipo de Wordpress por el trabajo hecho con cada nueva versión.

Actualización a la 1,14 h, urge el update para blogs con registro de usuarios.

Acabo de leer en las notas de esta nueva versión que urge actualizar si tenéis abierto el registro de usuarios en el blog, hay un bug para la versión 2.6.1 y anteriores reportado por Stefan Esser que afecta a MySQL y mt_rand() que puede hacer posible por un ataque (nada fácil de ejecutar según informan) resetear la contraseña de un usuario registrado anteriormente a otra generada aleatoriamente.

Esto que no es un bug tan grave sino a mi entender y como dicen desde WP más bien muy molesto ya que no se revela la nueva contraseña al atacante, en combinación con esa debilidad en mt_rand(), podría usarse para predecir esa contraseña generada aleatoriamente y en ese caso usar la cuenta de ese usuario con fines nada buenos (para el blog -;) lo que si llevaría a una amenaza digna de tener en cuenta…

Sabiendo esto, la actualización se hace algo obligatorio para prevenir problemas actuales y futuros…

Descarga de Wordpress 2.6.2 final.

Comparte este contenido de DaboBlog

Technorati Tags: actualizacion, Blogs, CMS, Seguridad Informatica, Software, Webmaster, Wordpress

Entradas relacionadas

• Joomla 1.5.7 Security Release, urge actualizar (0)
• Wordpress y registro de usuarios, bug que permite el robo de mails y más info (0)
• Wordpress 2.5.1, requiere actualización inmediata, sobre todo con usuarios registrados (6)
• Wordpress 2.5 versión final, descarga disponible (5)

Tags: actualizacion, Blogs, CMS, Seguridad Informatica, Software, Webmaster, Wordpress

Hola amigos, como viene siendo habitual me hago eco de una grave vulnerabilidad que afecta a Joomla! 1.5.5 y versiones anteriores con resultados devastadores. (He hecho alguna prueba y os aseguro que no es alarmismo)

No voy a poner el código del exploit (que ya lo vi ayer día 12) ni el link, pero si que os comento que es de muy sencilla aplicación, usándolo en combinación con la típica opción de “olvidé mi contraseña” un usuario no autorizado se convierte “fácilmente” en administrador y…adiós Joomla!.

Si quieres parchear únicamente este bug antes de actualizar todo el CMS puedes hacerlo del modo que comentan en la web de desarrollo de Joomla!;

Busca en /components/com_user/models/reset.php

Despúes de; global $mainframe; en la línea 113 de reset.php, añade:

if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

Y el tema quedará resuelto, pero por favor, comprueba la fuente original en Joomla! (hazlo siempre porque podemos confundirnos en algún punto y meter la pata, siempre la web con la info original en temas de estos).

Más info y descarga de Joomla! 1.5.6

Technorati Tags: Joomla, seguridad, exploit, bug, vulnerabilidad, CMS, blog, web

Comparte este contenido de DaboBlog

Technorati Tags: Blogs, Bugs, CMS, Joomla, Seguridad Informatica, Webmaster

Entradas relacionadas

• Joomla! 1.0.15, urge actualizar (y añado, Drupal 6.1, actualización de seguridad) (7)
• Joomla 1.5.7 Security Release, urge actualizar (0)
• Wordpress y registro de usuarios, bug que permite el robo de mails y más info (0)
• Wordpress 2.5.1, requiere actualización inmediata, sobre todo con usuarios registrados (6)

Tags: Blogs, Bugs, CMS, Joomla, Seguridad Informatica, Webmaster