El proyecto Debian se complace en anunciar la cuarta actualización de su distribución estable de Debian 6.0 (nombre en clave “Squeeze”). Esta actualización agrega principalmente correcciones para problemas de seguridad a la versión estable, junto con algunos ajustes a problemas serios. Recomendaciones de seguridad ya se habían publicado por separado y se hace referencia cuando esté disponible.

Tenga en cuenta que esta actualización no constituye una nueva versión de Debian 6.0, ya que sólo actualiza algunos de los paquetes incluidos. No hay necesidad de tirar los CDs o DVDs, sólo necesita actualizar a través de un espejo al día después de una instalación de Debian.

Los que con frecuencia instalan las actualizaciones de security.debian.org no tendrán que actualizar muchos paquetes ya que la mayoría de las actualizaciones son las que se incluyen en esta actualización.

Los nuevos medios de instalación y las imágenes de CD y DVD que contiene los paquetes actualizados estarán disponibles en breve en los lugares de costumbre.

Una lista completa de réplicas está disponible en:

http://www.debian.org/mirror/list

Fuente de la noticia:

http://www.debian.org/News/2012/20120128

A partir del 24 de agosto 2011, Canonical ya no tiene permiso para redistribuir los nuevos paquetes de Java, Oracle ha retirado la “licencia de distribuidor de Java al sistema operativo”, al mismo tiempo Oracle ha publicado varios avisos sobre problemas de seguridad en la versiones de Java en la actualidad que están siendo explotadas, por lo que Canonical pensaba lanzar una actualización de seguridad para el complemento del navegador de Sun JDK que desactivara el plugin en todas las máquinas de manera inmediata, pero  una nueva declaración retrasará este suceso con el fin de evitar fallos inesperados en las instalaciones de los usuarios.

Declaración

The Sun JDK packages will remain installed on current systems with no further security updates. On new systems, it will no longer be possible to install the packages from the partner archive. Sun Java 6 Users are encouraged to migrate to an alternative solution as specified in the wiki

Traducción

Los paquetes de Sun JDK permanecerán instalados en los sistemas actuales  sin actualizaciones de seguridad. En los nuevos sistemas ya no será posible la instalación desde el Centro de Software de Ubuntu. Los usuarios de Sun Java 6 deberán emigrar hacia una solución alternativa especificada en la wiki.

Se insta a los usuarios a cambiar hacia una opción como OpenJDK, sin embargo, el cambio en la licencia no afecta a la disponibilidad de Sun Java para Linux sólo el permiso de los sistemas operativos para su distribución. Sun Oracle Java puede descargarse e instalarse manualmente desde el sitio web de Oracle.

Para instalar Oracle Java JDK 7 en Ubuntu a través de PPA

El paquete proporcionado por Webupd8 contiene Oracle Java JDK 7, que incluye el JRE y el plugin de Java para el navegador, para insalarlo debe utilizar los siguientes comandos:

sudo add-apt-repository ppa:webupd8team/java
sudo apt-get update
sudo mkdir -p /usr/lib/mozilla/plugins
sudo apt-get install oracle-jdk7-installer

NOTA:

Tenga en cuenta que este paquete se encuentra actualmente en alfa y se ofrece sin ningún tipo de garantías, por lo que puede o no puede trabajar. Úselo bajo su propio riesgo!

Fuentes de la noticia:

https://lists.ubuntu.com/archives/ubuntu-security-announce/2012-January/001554.html

http://www.omgubuntu.co.uk/2012/01/canonical-reverse-java-uninstall-decision/

http://www.webupd8.org/2012/01/install-oracle-java-jdk-7-in-ubuntu-via.html

Imagen del artículo: http://99xpress.deviantart.com/

El lanzamiento de WordPress 3.3 se vio acompañado de novedades pero también de algún que otro problemita, afortunadamente la comunidad de este magnifico gestor de contenidos trabaja muy rápido, y como es un producto utilizado por tantos sitios webs en internet (incluído éste) pues no han faltado los comentarios acerca de los errores, de ahí que apareciera en tan poco tiempo WordPress 3.3.1 una actualización de seguridad que solventa los errores, asi  que ya sabes, a instalarlo.

Red Hat ha publicado una actualización del kernel para Red Hat Enterprise Linux 6 y sus clones (CentOS, Scientific Linux) que solventa 12 vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, revelar información sensible o evitar determinadas protecciones de seguridad.

Los problemas corregidos se deben a errores en IPv6; en las implementaciones CIFS (Common Internet File System), FUSE (Filesystemin Userspace) y EFI GUID PartitionTable (GPT); en el driver b43; en el acceso a estadísticas I/O del subsistema taskstats y por último en la herramienta perf perteneciente a la implementación PerformanceEvents.

La lista de CVEs relacionados son:

CVE-2011-1162, CVE-2011-1577, CVE-2011-2494, CVE-2011-2699, CVE-2011-2905, CVE-2011-3188, CVE-2011-3191, CVE-2011-3353, CVE-2011-3359, CVE-2011-3363, CVE-2011-3593 y CVE-2011-4326.

Además se han solucionado otros fallos de menor importancia. Ésta actualización está disponible desde Red Hat Network.

Más información:
Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2011-1465.html

La vulnerabilidad, hasta ahora desconocida, fue reportada por varias organizaciones independientes al ISC como un error que afectaba a las consultas recursivas. En concreto, el mensaje que quedaba en los logs era:

“INSIST(! dns_rdataset_isassociated(sigrdataset))”

El error apuntaba al archivo fuente ‘query.c’.

Versiones afectadas:

BIND 9.0.x -> 9.5.x, 9.4-ESV-> 9.4-ESV-R5, 9.6-ESV-> 9.6-ESV-R5, 9.7.0-> 9.7.4, 9.8.0-> 9.8.1

Solución

La solución es actualizar BIND a una de las siguientes versiones: BIND 9.8.1-P1, 9.7.4-P1, 9,6-ESV-R5-P1, 9,4-ESV-R5-P1

Los parches para mitigar el problema están disponibles en:

https://www.isc.org/software/bind/981-p1
https://www.isc.org/software/bind/974-p1
https://www.isc.org/software/bind/96-esv-r5-p1
https://www.isc.org/software/bind/94-esv-r5-p1

ISC está recibiendo múltiples informes y trabaja con varios clientes sobre este tema. Por favor envíe todas las preguntas y detalles a security-officer@isc.org

Se agradecen mucho todos los informes enviados sobre este tema.

Más información en:

http://unaaldia.hispasec.com/2011/11/corregido-0-day-que-afecta-servidores.html

http://www.isc.org/software/bind/advisories/cve-2011-4313

El gestor de contenido (CMS) de código abierto conocido como Joomla! se ha actualizado después de ser conocido un error en la generación de números aleatorios de contraseñas, lo cual podría ser explotada por un atacante para cambiar la contraseña de un usuario.

La versiones que se ven afectadas son la 1.5.x, 1.6.x y 1.7.2. Joomla! 1.5.25 y 1.7.3 se han lanzado para solucionar el problema descrito por los desarrolladores como de “alto riesgo”.

Otro problema de seguridad en la versión 1.7.x, con la participación de filtración inadecuada de un campo especificado, lo que podría ser utilizado para cross site scripting (XSS) también se ha corregido.

Se aconseja actualizarse de inmediato sobre todo para sitios en producción.

Fuente de la noticia:

http://www.h-online.com/open/news/item/Joomla-updates-close-security-holes-1379162.html

Enlaces de descargas

Click aqui para descargar Joomla 1.7.3 (Paquete completo) »

Click aqui para descargar Joomla 1.7.3 (Paquete de actualización) »

Tal y como anunció el pasado 19 de septiembre el proyecto Debian, se ha anunciado la tercera actualización de su distribución estable Debian 6.0 (nombre en clave “Squeeze).” Esta actualización agrega principalmente correcciones para problemas de seguridad, junto con unos cuantos ajustes a problemas serios, aunque las recomendaciones de seguridad se habían publicado por separado.

Tenga en cuenta que esta actualización no constituye una nueva versión de Debian, sólo actualiza algunos de los paquetes incluidos.

Los que instalan con frecuencia las actualizaciones de security.debian.org no tendrán que actualizar muchos paquetes porque la mayoría de las actualizaciones de security.debian.org se incluyen en esta actualización.

Los nuevos medios de instalación y las imágenes de CD y DVD que contiene los paquetes actualizados están disponibles en los lugares de costumbre.

Una lista completa de réplicas está disponible en:

http://www.debian.org/mirror/list

Fuente de la noticia:

http://www.debian.org/News/2011/20111008

Dicho de esta manera mis palabras no son un desaliento sino un llamado a utilizar los servicios que tenemos a nuestra disposición si queremos ‘un poco privacidad’ en lo que hablamos y decimos.

De momento ha quedado explícitamente claro que Facebook y Microsoft espían a sus usuarios, asi que usar esos servicios para hablar cosas de importancia y entregar (escribir) información sencible, solo demuestra un alto grado de ingenuidad que puede rayar con la estupidez.

El uso de SIP como servicio mediante aplicaciones como QuteCom, es un buen ejemplo que debemos generalizar, hoy les hablo de otra herramienta que nos ayuda a preservar nuestra confidencialidad cuando chateamos, y que se llama TorChat.

Esta aplicación utiliza la red de Tor para permitir una conversación entre dos usuarios de forma anónima en la red. Una vez que has iniciado la aplicación se te hace entrega de un ID (identificador) el cual tienes que dar a conocer a la otra persona con la que quieres hablar y asi de esa manera entrarán en contacto.

La aplicación es libre y tiene versiones para Windows (portable), Linux y Mac.

Más información y fuente de la noticia en:

http://bitelia.com/2011/02/torchat-chat-seguro-y-anonimo

Llegar a estar en la cima y ser de los grandes es algo que da poder y despierta mas sed de poder.

No hace mucho supimos que Facebook puede rastrear a sus usuarios aún cuando no están conectados en la red social, pues bien, ahora según Bitelia, se ha filtrado la información de que la compañia desde el 22 de septiembre está buscando legalizar esta acción… como lo están leyendo, no solo admitió que espía deliberadamente a sus usuarios, sino que ahora también intenta legalizar dicha acción para protegerse así de posibles reclamaciones.

De momento lo mejor es incrementar nuestras medidas de seguridad en la red social y borrar las cookies, ya estamos avisados y sabemos que Facebook continúa al acecho.

Fuente de la imagen: http://mollay.deviantart.com/

Estos complementos y sus datos permanecen intactos ya que en realidad no han sido eliminadas, situación que vinculado a otros problemas han sido erradicados.

Como era de esperarse la fundación Mozilla ha trabajado duro y ya tenemos la actualización de Thunderbird 7.0.1

Fuente de la noticia:

http://www.mozillaes.org/2011/09/30/thunderbird-7-0-1/