Nuevo #WordPress 4.9.7 actualización de Seguridad

Está disponible para actualizar WordPress 4.9.7 como versión de seguridad, para solucionar 17 problemas detectados en la anterior versión hasta la 3.7 incluida, por lo que deberías actualizar previa realización de una copia de seguridad.

El mayor problema detectado en versiones vulnerables es que un usuario con ciertos privilegios pueda eliminar archivos fuera de /uploads.

Se han solucionado también problemas con taxonomías, eliminación de cookie de contraseña al cerrar sesión, mejoras en widgets HTML, y correcciones relacionadas con la privacidad.

Antes de actualizar es importante realizar una copia de seguridad (si tu actualización no es automática).

Mejoras y correcciones

Las versiones de WordPress 4.9.6 y las anteriores hasta la 3.7 se ven afectadas por un problema en Medios que puede facilitar el que un usuario con ciertas capacidades intente eliminar archivos fuera del directorio de subidas.

Se han solucionado 17 errores en WordPress 4.9.7:

• Taxonomía: se mejora la gestión de la memoria caché para consultas de términos.
• Publicaciones, tipos de publicaciones: se elimina la cookie de la contraseña al cerrar la sesión.
• Widgets: se permite etiquetas HTML básicas en las descripciones de la barra lateral en la pantalla de administración de Widgets.
• Panel de eventos de la comunidad: siempre muestra el WordCamp más cercano si aparece uno, incluso si hay múltiples Meetups primero.
• Privacidad: se comprueba de que el contenido predeterminado de la Política de Privacidad no cause un error fatal al sobrescribir las reglas de reescritura fuera del contexto de administración.
• Esta actualización no afecta a los temas nativos de WordPresss.org por lo que no sufren modificaciones.

Enlace | WebEmpresa

Gentoo sufre un ataque en su cuenta principal de GitHub

Atacantes desconocidos comprometen durante unas horas la cuenta de GitHub de Gentoo utilizada como reserva de código fuente perteneciente al sistema de paquetería de la distribución

Ocho horas, desde las 20:20 (UTC) del 28 de junio hasta las 04:26 del día siguiente. Esta fue la ventana de tiempo que tuvieron los atacantes para introducir código malicioso en la cuenta de GitHub. Código malicioso que tenía como objetivo borrar todos los archivos del sistema donde se ejecutase, a través de archivos usados por el sistema de paquetería. Los archivos modificados para contener código malicioso son los llamados "ebuilds", que no son más que archivos de texto con información sobre una pieza de software concreta, especificando el nombre, el autor, cómo se debe construir el software a partir del código fuente y otras librerías...

 Por suerte, la repercusión final del ataque es bastante limitada. Lo primero que pone freno a la efectividad del ataque es que el código malicioso no funciona tal y como está, probablemente por un fallo en la programación por parte de los atacantes. Y lo segundo es que la cuenta de GitHub comprometida se usa como espejo, y no es la infraestructura principal usada por defecto por el sistema de paquetería. La principal está en servidores controlados directamente por la organización de Gentoo.

Otra medida de protección que se puede deducir del comunicado oficial de Gentoo es la verificación de los commits (unidades de actualización de código usadas en repositorios de código como Git). Cada vez que un desarrollador de Gentoo sube código al repositorio a través de un commit, ese commit va firmado por él, y el comunicado da a entender que los commits conteniendo código malicioso no venían firmados por desarrolladores de Gentoo.

Saber si estás afectado es bastante simple: si has usado esa cuenta de GitHub en los últimos días, es probable que hayas descargado código malicioso. Pero según comentaban, el código no funcionaba. Así que bastaría con sincronizar usando la infraestructura principal en vez de la cuenta de GitHub, para que los paquetes con ebuilds modificados para incluir código malicioso se sobreescriban con versiones buenas, y posteriormente poder reinstalar los paquetes instalados en los últimos días.

Fuente | una-al-dia

Lanzan oficialmente el nuevo protocolo WPA3 para proteger redes Wi-Fi

Wi-Fi Alliance, la entidad que administra las tecnologías y certificaciones Wi-Fi, acaba de presentar el nuevo protocolo de seguridad para redes Wi-Fi: el esperado WPA3.

En enero de este año les contábamos que Wi-Fi Alliance había anunciado el nuevo mecanismo de seguridad. Las razones se venían conversando hace tiempo, pero se extremaron cuando apareció un serio fallo en WPA2. ¿Se acuerdan?

Si bien este error, que permitía escuchar el tráfico de los dispositivos que se comunican mediante Wi-Fi, fue parchado, se sentaron las bases para un nuevo protocolo más seguro, sobre todo para los nuevos dispositivos que se lanzarán de acá en adelante.

Al igual que sus predecesores, la Wi-Fi Alliance mencionó en un comunicado que el sistema se lanza en los modos WPA3-Personal y WPA3-Enterprise, cuya diferencia reside en en la etapa de autenticación.

WPA3-Personal utiliza un algoritmo llamado Simultaneous Authentication of Equals (SAE), que reemplaza la llamada Pre-shared Key (PSK) en WPA2-Personal. Incluso cuando los usuarios eligen contraseñas que no cumplen con las recomendaciones típicas de complejidad, el sistema provee un handshake seguro, que resiste los ataques por diccionario.

WPA3-Enterprise, por su parte, también tiene un cifrado de 192-bit que proporciona un mecanismo de seguridad adicional para entidades que manejan datos sensibles.

Además, Wi-Fi Alliance presentó un sistema llamado Wi-Fi Easy Connect, un mecanismo que reduce la complejidad para incorporar dispositivos con interfaz limitada, como los de IoT. Esto se logrará escaneando, con un smartphone, un código QR que entregará la posibilidad de configurar las opciones de otro dispositivo.

De momento WPA3 es opcional para los equipos nuevos, aunque la migración global es un hecho. Es solo cuestión de tiempo para que llegue a todos los rincones del globo.

Enlace | FayerWayer

Un fallo en WordPress permite a un autor borrar ficheros y ejecutar código arbitrario

Los investigadores de RIPS Technologies GmbH descubrieron hace siete meses una vulnerabilidad en el conocido CMS WordPress que permite a un usuario con bajos privilegios poder secuestrar todo el sitio web y ejecutar código arbitrario a nivel del servidor.

A pesar de todo el tiempo transcurrido, en la actualidad todas las versiones de WordPress, incluida la 4.9.6, siguen afectadas por el fallo de seguridad descubierta por los investigadores, que reside en una de las funciones principales de WordPress y se ejecuta en segundo plano cuando un usuario borra de forma permanente una miniatura o una imagen subida.

La función de eliminación de miniaturas acepta entradas de usuario sin sanitizar, permitiendo a usuarios con privilegios restringidos, a partir de los autores, borrar cualquier fichero alojado en el almacenamiento web, algo que solo tendría que poder realizar los administradores del servidor o el sitio web. El requerir al menos una cuenta de autor reduce la gravedad del fallo hasta cierto punto, que puede ser explotado por cualquier colaborador o hacker que obtenga las credenciales de un autor mediante ataque de phishing, reutilización de contraseña u otros tipos de ataques.

Los investigadores avisan de que el actor malicioso podría terminar borrando ficheros críticos como “.httaccess” del servidor web, que contiene ciertas configuraciones relacionadas con la seguridad, en un intento de inhabilitar la protección. Otra posibilidad es borrar el fichero “wp-config.php”, abriendo así al puerta a que se vuelva a iniciar el instalador y poder así reconfigurar el sitio web con los parámetros que el hacker crea conveniente y obtener así control total.

Aquí es importante tener en cuenta una cosa, y es que el hacker no tiene acceso directo al fichero “wp-config.php”, así que no puede obtener parámetros de configuración como el nombre del base de datos, el nombre de usuario de MySQL y la contraseña de dicho usuario de MySQL, por lo que no le queda otra que reconfigurar utilizando un base de datos remota que esté bajo su control. Una vez terminado el proceso de instalación, el atacante podrá hacer lo que quiera con el sitio web, incluso ejecutar código arbitrario.

Los investigadores han publicado un parche propio para corregir este problema, mientras el equipo de seguridad de WordPress todavía busca una manera de parchearlo en la próxima versión de mantenimiento del CMS.

Fuente: The Hacker News