SpamSpam.info, antispam, antiphishing, antivirus, antispyware: seguridad informática contra todo malware. » cms

Nueva actualización WordPress 2.8.2 corrige grave vulnerabilidad en XSS

Ignacio — Tue, 21 Jul 2009 11:50:39 +0000

WordPress 2.8.2 se liberó recientemente tras diez dias del lanzamiento de su última versión, la actualización de seguridad permite resolver un problema de XSS. XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. Generalmente, se trata de explotar esta vulnerabilidad enviando código a un sitio web de forma que la victima que acceda pueda perder datos o su privacidad en internet como claves o cookies.

Existe un artículo sobre vulnerabilidades XSS en Wikipedia.

El fallo se originó en un agujero de seguridad del tablero de administración, que mostraba las URL de los comentarios sin someterlas a depuración. Esto permitia la implantación de códigos maliciosos que redirigieran a los administradores a otros sitios.

Puedes actualizar automaticamente desde el menú de tu WordPress que nada más ingresar al panel te avisará de la nueva actualización disponible o descargar el software completo desde su sitio oficial. Así mismo, si utilizas WordPress MU para crear tu propia red de blogs, también debes realizar el upgrade.

Por otra parte, tengamos en cuenta que se trata de una actualización en inglés US, de momento no se ha liberado traducción en español.

Puedes informarte de otras características de la nueva actualización de seguridad en WordPress

Actualización Joomla! 1.5.12

Ignacio — Tue, 07 Jul 2009 16:32:24 +0000

El Proyecto Joomla anunció la inmediata disponibilidad de Joomla 1.5.12 [Wojmamni Ama Woi]. Esta versión contiene un buen número de correcciones de errores y tres correcciones de seguridad de importancia media. Ha pasado menos de un mes desde que salió el Joomla 1.5.11 el dia 3 de junio de 2009.

La versión Joomla! 1.5.12 presenta una notoria actualización de la biblioteca Pear a la nueva versión licenciada según la BSD, lo que conlleva que el código cumpla plenamente con la GPL. Además, esta versión contiene la importante actualización al TinyMCE 3.2.4.1, aunque no hay cambios en módulos ni en el modo heredado.

Otros cambios significativos son:

PHPMailer allows permite conexiones seguras a servidores SMTP
La subida de archivos desde el CMS usa permisos 644, chmod 644, cuando usamos FTP mode

Si eres usuario del CMS Joomla, descarga los paquetes de actualización desde Joomla Code

Joomla! 1.5.11 [Vea] actualización de seguridad

Ignacio — Wed, 10 Jun 2009 12:30:48 +0000

Ya está disponible Joomla! 1.5.11 [Vea] y el pack Joomla! Spanish 1.5.11 traducido en español para los webmasters hispanos que usen el fantástico CMS Joomla. Esta es una liberación de seguridad y se recomienda a todos los usuarios que se actualicen inmediatamente. La versión 1.5.11 contiene correcciones de 26 bugs, 2 correcciones de errores de nivel de seguridad medio y una de un error de bajo riesgo. Han pasado 11 semanas desde que se liberó Joomla 1.5.10. El objetivo del Equipo de Desarrollo es seguir presentando regular y frecuentemente nuevas actualizaciones a la comunidad.

Si además de actualizar el core de Joomla tenemos instaladas extensiones de terceros, no sería mala idea hacer un chequeo para comprobar si tenemos las últimas versiones y si estas se encuentran libres de vulnerabilidades, recordemos que muchas veces los crackers atacan sitios con gestores de contenidos, CMS, populares porque algunos webmasters dejan de actualizar y conservan versiones del core de Joomla o extensiones de terceros que suponen huecos de entrada para ataques. Las vulnerabilidades no tardan en ser encontradas por individuos que buscan atacar a webmasters con bajos conocimientos y aprovechan sistemas populares muy usados para poder atacar masivamente a todo aquel que los use. En los peores casos, no tiran los sitios web, sino que aparentemente todo va con normalidad salvo que dentro del CMS se ha instalado un directorio con archivos para hacer phishing, mucho cuidado con esto porque la reputación y la seguridad del sitio y sus visitantes se ven comprometidas.

Se puede descargar Joomla traducido al español desde Joomla Spanish o también actualizar desde una versión anterior de Joomla 1.5 usando alguno de los packs de actualizacion. Para realizar actualizaciones de versiones anteriores, es bueno consultar la documentación si se tiene cualquier duda.