Etiqueta: Seguridad
Vulnerabilidades en PhpMyAdmin
Se descubrieron vulnerabilidades bastante críticas que afectan a las versiones anteriores a 3.3.10.2 y 3.4.3.1 de esta aplicación. Es conveniente actualizar cuanto antes.
Entrada publicada en Miniposts
WordPress 3.1.4 y 3.2
Actualización: Enlaces de descarga 3.1.4 y 3.2-RC3 En las últimas horas ha registrado bastante actividad. Estos cambios responden principalmente a una serie de correcciones de seguridad, que ya había comentado en una entrada anterior. Por lo visto, se publicará una nueva versión menor de WordPress, decisión que es bastante razonable, dado que para poder actualizar [...]
Entrada publicada en Miniposts
Código insertado a WPTouch y WP Total Cache
Luego del incidente detectado por el equipo de WordPress, mirando rápidamente los cambios que se hicieron, se puede ver lo siguiente: diff:Index: /wptouch/trunk/wptouch.php =================================================================== --- /wptouch/trunk/wptouch.php (revision 397079) +++ /wptouch/trunk/wptouch.php (revision 399276) @@ -511,4 +511,6 @@ if (isset($_COOKIE[$key])) { $this->desired_view = $_COOKIE[$key]; + if [...]
Entrada publicada en Wordpress
Atención: Actualizar los plugins AddThis, WPtouch y W3 Total Cache
Aparentemente las cuentas de los desarrolladores de los mencionados plugins fueron comprometidas. Se sugiere actualizar lo más antes posible para evitar mayores problemas.
Entrada publicada en Miniposts
WordPress 3.2: ¿vale la pena actualizar?
Como todos saben, el lanzamiento de la versión estable de WordPress 3.2 está programada para el 30 de junio. Sin embargo, algunos no parecen estar muy contentos por las pocas características nuevas que incluye y generalmente, son ellos mismos quienes piden que se mejore el rendimiento. Se repite siempre el mismo fenómeno cada vez que [...]
Seguridad: validación de datos
No sé si todavía haya alguien que suela darle una mirada a los artículos de este blog, más aún si es alguien que conocía este sitio cuando solía escribir desvariar sobre temas relacionados a la seguridad hace unos años atrás. No sé si he escrito sobre este tema antes, pareciera ser que no tengo muy [...]
Collège de France: interesantes presentaciones sobre seguridad informática
Durante los meses de marzo, abril y mayo de este año, se han realizado un conjunto de presentaciones sobre seguridad (inglés, francés) en el Collège de France, en París. Pueden descargar las transparencias y ver los videos de las presentaciones. Leslie Lamport, por ejemplo habla de los fallos bizantinos y algunos algoritmos de consenso y [...]
Entrada publicada en Artículos, Seguridad, Web
WordPress < 3.1.3: Multiples vulnerabilidades
Aunque en el anuncio oficial no se mencione muy claramente, esta versión trae importantes cambios. La vulnerabilidad SA44409 fue corregida por el changeset 18014. Esto autorizaba a subir archivos que permitían la ejecución de código php, siempre y cuando la configuración de Apache permita aceptar múltiples extensiones. Esto es una variante de un falla anterior. [...]
WordPress: protección contra ataques CSRF
Para aquellos que desconocen, WordPress utiliza (desde la versión 2 si mal no recuerdo) las funciones wp_create_nonce y wp_verify_nonce como sistema de protección para ataques de tipo CSRF. Más allá de algunos problemas no relacionados con la implementación de estas funciones, ha funcionado bastante bien a lo largo del tiempo. Entrando un poco más en [...]
WordPress, tres años después
Aunque nunca haya sido un gran colaborador de WordPress, recuerdo que desde los primeros tickets que abrí relacionados a su seguridad, llegué a conocer relativamente bien el código que formaba parte de las versiones 2.0.x a 2.3.x. Solía seguir de manera regular los cambios que se iban haciendo y reporté unas cuantas fallas de seguridad. [...]