Archivo de la etiqueta: bug

Detectados fallos de seguridad en phpMyAdmin

Detectados fallos de seguridad en phpMyAdminPhpMyAdmin es una aplicación web muy popular, destinada facilitar la administración de la base de datos MySQL. Gracias a phpMyAdmin, se pueden gestionar fácilmente tareas que directamente vía consola, resultarían bastante tediosas.

Recientemente se han descubierto varias vulnerabilidades que pueden poner en peligro la información de las bases de datos a las que administran. La peligrosidad de los fallos de seguridad detectados, radica en que esta aplicación es muy popular y está muy extendida entre los usuarios. Por ello, ataques a esta plataforma comprometerían a un gran número de usuarios. Sigue leyendo

Facebooktwittergoogle_plus

Vulnerabilidad muy grave detectada en el nucleo de Drupal

Vulnerabilidad muy grave detectada en el nucleo de DrupalAyer se publicó la 7.32 de Drupal, la cual corrige una vulnerabilidad muy grave detectada en el núcleo de Drupal.

Cuando decimos muy grave, no estamos exagerando. Según se informa desde la página oficial del proyecto Drupal, este bug permite la posibilidad de inyección SQL, con el consiguiente riesgo para la web atacada.

Drupal se basa en una API, mediante la cual abstrae todas las sentencias SQL y de paso, realiza una verificación de todas dichas sentencias para evitar ataques por SQL. El bug detectado, se encuentra precisamente en esta API, que no realiza correctamente su trabajo y permite a un atacante con suficientes conocimientos, la ejecución de comandos SQL.

El detalle de dicha vulnerabilidad se encuentra en https://www.drupal.org/SA-CORE-2014-005

Como comentamos al principio, el bug detectado tiene la calificación de “altamente crítico“, por lo que se recomienda la inmediata actualización del sitio web a la última versión.

En el caso de no poder actualizar, por seguridad, se recomienda aplicar un parche temporal, del fichero database.inc, para mitigar en lo posible la vulnerabilidad de nuestro sitio. Para aplicar este parche, consulta este enlace https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch

Para descargar la última versión, no tenéis mas que acceder a la página oficial del proyecto: https://www.drupal.org/project/drupal

Facebooktwittergoogle_plus

Dos nuevas versiones de Joomla en apenas unas horas

Dos nuevas versiones de Joomla en apenas unas horasEl equipo de desarrollo de Joomla ha estado muy activo en estos dias, ya que tras presentar la versión 3.3.5, tan solo unas horas mas tarde publicó la versión 3.3.6

Se lanzó la versión 3.3.5 para corregir unos errores detectados en el núcleo. Estos errores suponían un fallo de seguridad importante para los usuarios de este popular CMS.

Las mejoras introducidas en la versión de Joomla 3.3.5 corregían dos fallos de seguridad detectados:

  • Inclusión remota de archivos, clasificado como grave y que permitía a otros usuarios subir archivos a nuestra cuenta.
  • Denegación de servicio, clasificado con prioridad media.

Tras la corrección de estos fallos de seguridad y la publicación de la versión de Joomla 3.3.5, el equipo de desarrollo detecto fallos en el sistema de actualización del núcleo, por los que se apresuró a lanzar la nueva versión (3.3.6).

Es recomendable que los usuarios de esta plataforma actualicen de forma inmediata a la última versión, ya que engloba los fallos de seguridad publicados en la versión 3.3.5 y la corrección del sistema de actualización del núcleo, que facilita en gran medida mantener el sistema actualizado.

Para descargar la última versión podéis acceder a la página oficial de descargas de Joomla.

Como siempre, os recomendamos antes de nada, hacer una copia de seguridad tanto de los ficheros del servidor como de la base de datos.

Facebooktwittergoogle_plus

Muchas correcciones en Prestashop 1.6.0.9

Muchas correcciones en Prestashop 1.6.0.9Gracias a la gran comunidad de usuarios que tiene el popular Prestashop, el equipo de desarrollo ha incluido numerosas de las mejoras presentadas, lanzando hace unos días la versión de Prestashop 1.6.0.9

En esta nueva versión, aparte de estas nuevas mejoras, se han corregido alrededor de 90 bugs o fallos detectados, haciendo esta versión mucho mas estable y segura que sus predecesoras.

Se han realizado mejoras en el núcleo del sistema como la actualización de Smarty a la versión 3.1.19, o la mejora de detección de dispositivos móviles. Y en cuanto a las novedades presentadas, se ha incluido la posibilidad de añadir accesos directos desde la propia pagina de backoffice en la que estamos y se han incluido nuevos hooks en el proceso de pedido y de envío.

Para actualizar a esta nueva versión, existe un módulo en el propio Prestashop, que nos permite realizar actualizaciones. Este módulo se llama Actualización 1-click y nos brinda la posibilidad de tener el núcleo de Prestashop actualizado a la última versión.

Para actualizar tanto de forma manual como de forma automática con el módulo Actualización 1-click, es mas que recomendable realizar una copia de seguridad de los archivos del servidor y de la base de datos.

Facebooktwittergoogle_plus

Correcciones en el núcleo de Drupal

Correcciones en el nucleo de DrupalAyer mismo se publicaba la nueva versión del núcleo de Drupal tanto para la versión 6 como para la 7. Estas actualizaciones de seguridad, corrigen errores detectados en el modulo File incluido en el nucleo de Drupal.

Al parecer el fallo detectado, permite a los usuarios con suficientes conocimientos, visualizar elementos anteriormente subidos al servidor (por otros usuarios) mediante el formulario que genera el módulo File. Sigue leyendo

Facebooktwittergoogle_plus

PHP corrige un fallo de seguridad detectado

PHP corrige un fallo de seguridad detectadoAcaba de ser publicada una nueva versión de PHP, que corrige un fallo de seguridad detectado.

Las nuevas versiones de php lanzadas son la 5.5.12 y la 5.4.28

Estas versiones corrigen un bug detectado en versiones anteriores y que podría permitir una escalada de privilegios.

Concretamente el fallo se produce en el FastCGI Process Manager para PHP (PHP FPM), que utiliza un socket UNIX de manera insegura, con lo que puede permitir a usuarios, ejecutar código PHP con los privilegios de Apache.

Las nuevas versiones de PHP, además de corregir el mencionado error, incorporan otras mejoras y correcciones (hasta 21 en total).

Este fallo detectado, según INTECO-CERT, ha sido etiquetado como de importancia media.

Puedes ver la mención de este bug en INTECO-CERT o la publicación que se ha hecho desde el propio PHP.

Facebooktwittergoogle_plus

Detectado un fallo grave de seguridad en Internet Explorer

Detectado un fallo grave de seguridad en Internet ExplorerAcaba de ser descubierto un fallo grave de seguridad en Internet Explorer. Dicho bug se ha detectado en las versiones que van desde la 6 hasta la 11 y según apuntan los expertos, dicha vulnerabilidad podría haber sido utilizada por usuarios malintencionados para atacar a diversas empresas norteamericanas.

La firma de software de seguridad FireEye, ha indicado que dicho bug, ha sido utilizado a gran escala para introducirse en empresas de importante relevancia estratégica en el sector de la defensa y la investigación.

Desde Microsoft informan que están trabajando a marchas forzadas para subsanar este grave error. El número de usuarios potencialmente atacables es muy elevado, debido en parte a la gran cota de usuarios que tiene Internet Explorer en sus últimas versiones (9, 10 y 11).

Aunque en especial peligro están los usuarios de Windows XP, que al haber finalizado el periodo de soporte, no dispondrán del correspondiente parche de seguridad .

Como hemos comentado, de momento no existe ningún parche para solucionar esta vulnerabilidad, clasificada como crítica en la página web de INTECO, por lo que se recomienda hasta que aparezca una solución, utilizar navegadores alternativos.

 

Facebooktwittergoogle_plus

Corregida una vulnerabilidad en Drupal

drupal-logoAcaban de ser publicadas las versiones 6.31 y 7.27 de Drupal. En ambos casos se ha corregido una vulnerabilidad clasificada como moderadamente crítica (valor 3 sobre 5).

Cuando un usuario anónimo utiliza un formulario en varios pasos con tecnología Ajax, la información se va guardando de forma temporal hasta que se complete todo el formulario. Mientras dura este proceso, si otro usuario accede al formulario es posible que se le muestre dicha información, comprometiendo la privacidad del primer usuario. Sigue leyendo

Facebooktwittergoogle_plus

Detectado fallo grave en OpenSSL

Detectado fallo grave en OpenSSLRecientemente ha sido descubierto un fallo grave en el protocolo OpenSSL. Dicho bug, ha sido descubierto por trabajadores de Google en conjunto con la empresa de seguridad Codenomicon, ya que ambas empresas colaboran con el proyecto OpenSSL.

El fallo detectado, ha sido bautizado como Heartbleed Bug, o corazón sangrante en español, y permite a usuarios malintencionados, extraer datos de cualquier servidor que haga uso del software OpenSSL, de ahí la magnitud que ha alcanzado este bug. Concretamente, un usuario con suficientes conocimientos, puede obtener las claves privadas de cifrado y acceder a la totalidad del contenido de cada servidor.

Para empeorar aun mas esta situación de peligro, estos accesos no autorizados, no dejan ningún rastro en el equipo, por lo que son mas peligrosos y mas difíciles de detectar, y no es posible conocer si ha habido algún ataque en el servidor.

El equipo de desarrollo de OpenSSL se puso manos a la obra nada mas se conoció la noticia y en poco tiempo tuvo el parche disponible para su descarga. Se recomienda aplicar de inmediato dicho parche y seguir las recomendaciones de actuación ya que si solo se aplica el parche, el servidor podría continuar siendo vulnerable si ya ha sido atacado y se le han extraído las claves o certificados digitales.

Según informan desde la propia OpenSSL, las versiones de este protocolo que disponen de el bug son:

  • 1.0.1
  • 1.0.1f
  • 1.0.2-beta
  • 1.0.2-beta1

El resto de versiones parece que se ha salvado de “esta”.

Facebooktwittergoogle_plus

Encontradas vulnerabilidades en Firefox y Safari

Actualizaciones de seguridad para Firefox y SafariSi hace pocos días saltaba la alarma en el popular navegador de Mozilla, ahora acaba de ser publicada la nueva versión de Safari de Apple. Por lo que recomendamos actualizar dichos navegadores si no lo has hecho ya.

En el caso de Safari, la nueva versión publicada corrige hasta 27 vulnerabilidades encontradas. Dichos fallos de seguridad afectan a las versiones Mac OS X del navegador y según se indica, usuarios maliciosos podrían ejecutar remotamente código y obtener información sensible de los usuarios.

Las versiones afectadas son las anteriores a la 6.1.3 y 7.0.3, por lo que se recomienda su actualización cuanto antes.

En el caso de Firefox, la versión afectada es la 27.x según informan desde Mozilla, dicho fallo podría ser aprovechado por algún atacante para generar ataques de spoofing (suplantación de identidad), obtener información sensible y comprometer el sistema del usuario, por tanto y como siempre, nuestra recomendación es actualizar cuanto antes a la nueva versión 28 que corrige dichas vulnerabilidades.

Facebooktwittergoogle_plus