samuelaguilera.com » seguridad

WordPress 3.3.1, actualización de seguridad

Samuel — Wed, 04 Jan 2012 12:26:48 +0000

Tras el lanzamiento de la versión 3.3 de WordPress, ya tenemos la clásica revisión terminada en .1 la versión 3.3.1 de WordPress.

En esta ocasión se corrigen 15 fallos que en su mayoría (salvo dos) son de escasa importancia, y además un fallo de seguridad del tipo XSS, del que no se han dado mayores detalles.

Si ya actualizaste WordPress a la versión 3.3, deberías actualizar inmediatamente a esta nueva versión 3.3.1.

Si por el contrario sigues usando WordPress 3.2.1, puedes estar tranquilo ya que el fallo de seguridad mencionado afecta sólo a la versión 3.3.

La seguridad en los blogs de Eduard Punset

Samuel — Mon, 01 Aug 2011 19:17:39 +0000

Este pasado sábado 30 de julio se anunciaba en la página de Facebook de Eduard Punset que alguien había “hackeado” el blog de Eduard Punset y el de Redes para la Ciencia.

Anuncio en Facebook del "hack" a los blogs de Eduard Punset

Leyendo el anuncio del ataque que hicieron, hace pensar que alguien con grandes conocimientos para introducirse en webs ajenas habría accedido al servidor donde se alojan estos blogs y habría destrozado gran parte sino toda la información… Y bueno, la verdad es que no hay forma de saberlo, ya que no ha trascendido más información que la que anunciaron en su Facebook, y tampoco hay capturas disponibles de como quedaron los blogs (o al menos yo no las he encontrado). Con lo cual no sabemos si el ataque llegó “hasta la cocina” o se limitó al ámbito del WordPress con el que se gestionan toda red de blogs ligados a Eduard Punset.

Pero no es la primera vez que le ocurre esto a una web relacionada con Eduard Punset:

11 de julio de 2009 – El blog “Redes en la Red” (que hoy ya no existe), ya fue atacado. En Meneame.net se decía que el atacante había tenido acceso a los blogs a través de un usuario con contraseña débil, y el mismo usario que envió la noticia completaba la información creando una página estática donde recopila cierta información del atacante y una captura del estado de Redes en la Red tras el ataque. Por aquel entonces (como se puede ver en la captura), los responsables del blog, dejaban incluso que se viera públicamente que era el usuario “admin” el que escribía los artículos del blog.
23 de julio de 2009 – En esta ocasión es la web de Eduard Punset la que atacan. Y esta vez parece que fue un ataque al sistema (Windows) de la máquina que alojaba la web y no al gestor de contenidos.(...)
Leer el resto de La seguridad en los blogs de Eduard Punset (435 palabras)

© 2011 Samuel Aguilera. | Enlace permanente | No hay comentarios | Añadir a del.icio.us | Enviar a Twitter | Enviar a Meneame.net
Etiquetas: Eduard Punset, seguridad, vulnerabilidad, WordPress

WordPress 3.1.4

Samuel — Wed, 29 Jun 2011 20:28:44 +0000

Hace una hora escasa se ha publicado WordPress 3.1.4 como actualización catalogada de mantenimiento y seguridad, indicada para todas las versiones anteriores.

Lo más destacado de esta actualización es la corrección de un problema por el cual un usuario de nivel “editor” podía conseguir mayores privilegios en tu web de los permitidos por su nivel de usuario.

Además, han aprovechado para incluir otras mejoras y correcciones de seguridad aportadas por los desarrolladores Alexander Concha y Jon Cave, miembros ambos del equipo de seguridad de WordPress.

Puedes consultar si lo deseas la lista completa de cambios.

Como siempre ante este tipo de actualizaciones destinadas a corregir fallos de seguridad, mi recomendación es actualizar inmediatamente (incluso aunque en principio penséis que no os afecta lo corregido).

WordPress 3.1.3

Samuel — Wed, 25 May 2011 23:01:00 +0000

Hace apenas unas horas se ha publicado WordPress 3.1.3, una nueva versión de WordPress destinada a incrementar (una vez más) la seguridad de nuestras webs.

En concreto esta versión aporta mejoras de seguridad en varios aspectos como las consultas de taxonomías, la subida de archivos multimedia, o protección contra el “clickjacking” entre otras mejoras.

Como siempre ante versiones de este tipo, que únicamente aportan parches de seguridad y pequeñas mejoras sin grandes cambios en el núcleo, la recomendación es actualizar de inmediato. Ya que el riesgo de incompatibilidades con las extensiones o temas que estés usando es extremadamente bajo (siempre que tu versión actual de WordPress sea reciente, claro).

WordPress 3.1.2

Samuel — Wed, 27 Apr 2011 11:00:35 +0000

Tal como se intuía hace tan sólo unas horas por los movimientos en el TRAC de WordPress, se ha publicado WordPress 3.1.2.

Esta versión esta orientada principalmente a solucionar un fallo de seguridad descubierto por Andrew Nacin (miembro del equipo de seguridad y desarrollador del núcleo), y Benjamin Balter.

En concreto el fallo descubierto, que afecta a todas las versiones anteriores, permitía a usuarios con nivel de “colaborador” (contributor) a publicar contenido de “manera inadecuada” (es de suponer que sin la supervisión que este perfil tiene normalmente).

Además corrige también algunos fallos de menor importancia que se quedaron en el tintero en la versión 3.1.1.

Se recomienda, en general, actualizar lo antes posible. Y en especial si se trata de una instalación de WordPress donde se permite el registro de usuarios con nivel colaborador o has dado acceso a usuarios con ese nivel en los que no tienes plena confianza.

WordPress 3.1.1, actualización recomendada

Samuel — Wed, 06 Apr 2011 08:25:49 +0000

Como era de esperar, tras el lanzamiento de la esperada versión 3.1 de WordPress le ha seguido el lanzamiento de WordPress 3.1.1, donde se han limado algunos detalles como:

Endurecimiento de las medidas de seguridad en la subida de archivos multimedia
Mejoras de rendimiento
Arreglos en el soporte a IIS6
Arreglos en los enlaces permanentes con PATHINFO (/index.php/) y en los de taxonomías.
Arreglos en algunos casos extremos de consultas y taxonomías que causaban problemas de incompatibilidad con algunas extensiones

WordPress 3.1.1 también soluciona tres problemas de seguridad descubiertos por los desarrolladores del núcleo Jon Cave y Peter Westwood, miembros del equipo de seguridad. El primero endurece la prevención CSRF en la subida de archivos multimedia. El segundo evita un cuelgue de PHP en ciertos entornos al manejar enlaces particularmente malintencionados en los comentarios, y el tercero soluciona una vulnerabilidad XSS.

Se recomienda actualizar lo antes posible a esta nueva versión.

WordPress 3.0.5

Samuel — Tue, 08 Feb 2011 01:02:39 +0000

Últimamente los desarrolladores de WordPress no ganan para sustos con los parches de seguridad que está teniendo la rama 3.0.x …

Desde hace escasos minutos está disponible WordPress 3.0.5 que según comentan en el blog oficial corrige fallos de seguridad importantes si tienes usuarios en los cuales no confías plenamente.

Se recomienda actualización inmediata a los que tengáis usuarios ajenos a vuestro círculo de confianza, y a los que no pues tampoco está de más actualizar. En concreto la corrección de fallos y mejoras en el endurecimiento de la seguridad son:

Dos fallos de seguridad que podrían permitir a un usuario con nivel de colaborador o autor obtener un acceso superior.
Un fallo de revelación de información que podría permitir a un usuario con nivel de autor ver información que no le corresponde. Como borradores y entradas privadas.
Dos mejoras de la seguridad. Una relacionada con los plugins que no están utilizando adecuadamente el API de seguridad de WordPress, y la otra para ofrecer mayor seguridad ante una vulnerabilidad solucionada en una versión anterior.

Mi consejo, como siempre con versiones que corrigen fallos, es actualizar inmediatamente aunque a primera vista parezca que no te va a afectar el fallo. Más vale prevenir… ;)

Actualización crítica de WordPress

Samuel — Thu, 30 Dec 2010 01:40:04 +0000

Hace escasamente 3 horas el mismísimo Matt Mullenweg ha anunciado en el blog de desarrollo de WordPress una actualización de seguridad para WordPress calificada como crítica. Es decir, de obligatoria instalación inmediata si no quieres tener problemas importantes de vulnerabilidad.

Al parecer, según comenta Matt, esta actualización soluciona un fallo en el núcleo de WordPress más concretamente en la librería llamada KSES. Esta librería es la encargada de filtrar el código HTML para eliminar la posibilidad de que alguien pueda inyectar código malicioso y causarnos problemas. Y según comenta Matt el fallo descubierto dejaría la puerta abierta a ciertas vulnerabilidades XSS.

Más información (en inglés) en el blog de desarrollo de WordPress.

WordPress 3.0.3 publicado

Samuel — Wed, 08 Dec 2010 20:20:03 +0000

Tan sólo una semana después de publicarse WordPress 3.0.2 ha sido publicado WordPress 3.0.3 como actualización de seguridad.

En esta ocasión, el agujero de seguridad descubierto y solucionado sólo afectaba a aquellos que usan la interfaz de publicación remota, que normalmente desde hace ya varias versiones atrás viene desactivada de manera predeterminada (aunque no siempre fue así).

Podéis no obstante comprobar si tenéis activada dicha interfaz en Ajustes -> Escritura -> Publicación remota. Si tenéis marcada alguna de las dos casillas presentes en dicho apartado, tenéis la interfaz en cuestión activada (aunque no la uséis) y por tanto sois vulnerables a este fallo si no actualizáis.

El fallo descubierto permitía, bajo ciertas circunstancias, que tanto usuarios con nivel de autor o nivel de colaborador pudieran editar, publicar, o borrar entradas de forma “inadecuada” (entiendo que con esto se refieren a que podría hacerlo con entradas que no les pertenezcan).

Si sólo tienes un usuario que únicamente utilizas tú, no tienes que alarmarte por esta actualización incluso aunque tengas activado el sistema de publicación remota, pero como siempre recomiendo cuando se trata de actualizaciones de seguridad, es recomendable actualizar aunque no te encuentres en el grupo de riesgo.

WordPress 3.0.2 actualización de seguridad

Samuel — Wed, 01 Dec 2010 01:05:44 +0000

Acaba de publicarse hace apenas una hora WordPress 3.0.2 como actualización de seguridad.

Esta versión que ya se rumoreaba por Twitter a lo largo del día de hoy que podría estar al caer, viene a resolver una vulnerabilidad por la cual un usuario registrado con nivel de autor podría conseguir mayores privilegios (al parecer el que ha descubierto el fallo lo ha comunicado directamente a los creadores de WordPress, por lo que no hay más detalles).

Esta actualización ha sido calificada de obligatoria para todas las versiones anteriores de WordPress, por lo que es de suponer que el fallo no afecta sólo a la versión inmediatamente anterior sino a muchas otras anteriores. Y además del mencionado agujero de seguridad también han aprovechado para corregir otro tipo de fallos menores.

Así que la recomendación es actualizar inmediatamente sobre todo si tienes usuarios registrados (con nivel “autor”) en tu WordPress.

Visto en: WordPress.org