Nuevo #WordPress 4.9.3, actualización de mantenimiento

Ya se encuentra disponible una nueva versión de mantenimiento WordPress 4.9.3.

Figura 1: WordPress 4.9.3

Esta versión de mantenimiento soluciona 34 fallos de la versión 4.9, incluyendo soluciones a los registros de cambios del Personalizador, widgets, el editor visual, y compatibilidad con PHP 7.2. Para ver la lista de cambios consulta la lista de tickets y el registro de cambios.

Es muy importante llevar adelante y ejecutar esta actualización, para evitar cualquier tipo de problemas.

Por otro lado, para aprender a implementar diferentes esquemas de mantenimiento y actualización, no se olviden que se encuentra disponible mi libro "Máxima Seguridad en WordPress" publicado por la editorial 0xWORD.

Además, se encuentra el curso virtual de Seguridad en Entornos WordPress HCSWP para no perderse ningún detalle, con videos prácticos y mucha documentación.

Saludos!

Fuente | WordPress en español

#OWASP Top 10 en español por @SeguInfo

Luego de haberse publicado la RC1 en junio de 2017, la RC2 en noviembre y la versión final en inglés en noviembre, finalmente llevaron a una actualización en la metodología de recopilación de datos, y finalmente se ha lanzado la versión de OWASP Top 10 en Español.

Figura 1: OWASP Top 10 - Español

Esta importante actualización agrega varios tipos de vulnerabilidades nuevas, incluidos dos problemas seleccionados por la comunidad. Los comentarios de la comunidad generaron la mayor recopilación de datos de la historia de OWASP y permitió la preparación de un nuevo estándar de seguridad de aplicaciones.

El Top 10 de OWASP 2017 se basa principalmente en más de 40 presentaciones de datos de firmas especializadas en seguridad de aplicaciones y una encuesta de la industria que fue completada por 515 personas. Estos datos abarcan vulnerabilidades recopiladas de cientos de organizaciones y
más de 100.000 aplicaciones y APIs del mundo real. Los 10 elementos principales se seleccionaron y priorizaron de acuerdo con estos datos de prevalencia, en combinación con estimaciones consensuadas de explotabilidad, detectabilidad e impacto.

Mi saludos de agradecimientos a Cristian Borghello y a Gerardo Canedo de OWASP Uruguay que participaron en la traducción oficial al español de OWASP Top 10.

Fuente | Segu-Info

Comprometidos los paquetes oficiales del popular sistema de foros #phpBB

El pasado 26 de enero un atacante desconocido comprometió el sitio oficial del popular sistema de foros phpBB, suplantando dos paquetes oficiales por otros que contenían ficheros maliciosos. En concreto han sido suplantadas las versiones phpBB 3.2.2 y el parche para actualizar de la versión 3.2.1 a la 3.2.2.

Comprometidos los paquetes oficiales del popular sistema de foros phpBB

Los enlaces a los archivos fraudulentos sólo estuvieron activos durante tres horas. En este tiempo casi 500 personas descargaron el paquete comprometido.

El equipo de phpBB todavía está investigando los vectores de ataque, pero ha declarado que ni el dominio oficial phpBB.com ni la aplicación fueron explotados en el ataque.

El código malicioso cargaba código JavaScript desde una infraestructura remota que actualmente se encuentra en control del equipo de phpBB, por lo que la amenaza ya se encuentra neutralizada.

Como medida preventiva ante este tipo de ataques recomendamos siempre comparar las sumas SHA o MD5 de los ficheros descargados con las publicadas en el sitio oficial.

Enlace | Hispasec una-al-dia