Posibles problemas con los servicios de acortamiento de URLs

¿Qué pasa si un servicio de acortamiento de URLs tiene problemas técnicos o simplemente desaparece? ¿O si es victima de un problema de seguridad o deja de ser confiable? Al final, acortar una URL es como agregar otra capa donde las cosas pueden terminar mal y ya no se puede llegar al contenido deseado.

De alli que resulta lógico que cada sitio (popular, al menos) tuviera alguna forma de crear sus propias URLs cortas.

La que es siempre vuelve

phpBBUna de las comunidades que siempre ha sido afectada por fallos de seguridad, es la de los foros phpBB. Recuerdo en mis primeros años ya «administrado un sitio» (allá en el 2002) había que actualizar constantemente el foro para evitar que arruinaran los foros y aún así un par de veces tuvimos problemas. Esos eran los días en que uno odiaba a phpBB 2.0.x

Hace unos días me entere que volvieron a sufrir otro ataque, aunque no por un fallo en phpBB sino otro en phpList, y fue tan grave la cosa que lograron tomar todas las contraseñas de los usuarios:

the attacker was able to steal all email addresses from our mailing list, as well as the password hashes from this board’s database.

Pobres, no quisiera ser admin de su sitio, y que bueno que tampoco administro un foro con phpBB (tampoco crean que vBulletin es la gran maravilla, pero almenos no los hackean xD). Luego de tantos años en las mismas de siempre, phpBB y los fallos de seguridad son ya un sinónimo.

Virus fuera del mundo Windows

A veces cuando uno habla con los fanboys de GNU/Linux o Mac pareciera que están completamente convencidos que SU sistema es infalible; aunque si hay que reconocer que la seguridad está mejor implementada por defecto comparado con Windows. Paquete

Conforme estas dos plataformas se popularizan y hay más usuarios neófitos usándolas, las probabilidades de ver noticias en Digg como la de “Miles de macs infectados por un trojano en software pirata” se incrementan, pasándose de largo toda la supuesta gran seguridad comparada a la de Windows… y todo por culpa de un usuario que no sabe. Esos trojanos seguirán dando vueltas por un tiempo, y si esos usuarios tuvieran un antivirus quizás no estarían tan indefensos.

Tampoco quiero decir que los Antivirus sean la quinta maravilla, yo los odio, detesto la cantidad de recursos que consumen a diario cuando en realidad son útiles muy pocas veces. Mi Windows no tiene antivirus porque creo saber lo que hago, y en el peor de los casos se como eliminar los problemas.

Si el usuario es estúpido, no habrá sistema que lo defienda, no importando si es del pingüino, la manzana de la discordia o la ventana.

El sitio del Congreso de Guatemala es dañino

Mientras el sitio de la Casa Blanca luce su nuevo diseño (y hasta blog) con la entrada al poder de Obama, que aparte de ser un buen diseño también respeta los estándares web.

¿Y los sitios del gobierno de Guatemala? El sitio oficial del Gobierno no solo es feo sino que desconoce los estándares web, y mucho menos los RSS. Y así son la mayoría de sitios del Estado de Guatemala, pareciera que no tienen un objetivo y solo hechos para decir que cuentan con un «sitio».

Read More

WordPress 2.6 deshabilitará el XML-RPC

Para los que utilizan clientes externos para publicar en sus blogs, sepan que en Worpress 2.6 se estará deshabilitando la opción de XML-RPC y Atom Publishing Protocol, con el fin de aumentar la seguridad de muchos blogs que no utilizan esta función y que ha sido el punto de muchos fallos en el pasado.

Wordpress 2.6 - XMLRPC

Esto solo afectara a las instalaciones nuevas, a quienes estén actualizando su instalación la opción quedara activa.

Alt1040 hackeado

Para avivar más el escándalo de los fallos de seguridad en WordPress, luego de ver un post raro en el feed de alt1040 desde el Google Reader me doy cuenta que los hackearon:

alt1040 hackeado

Ya borraron ese post, pero ahora tienen otro post de un gatito muerto y luciendo Kubrick a todo su esplendor:

Alt1040 hackeado alt1040 hackeado

¡Vivan los fallos de seguridad en WordPress!

Edito: Ya regresaron a la normalidad…. me gustaba más con el gatito 😦 BTW: Confirmaron que el problema si fue el fallo de seguridad de WordPress 2.5, resuelto con 2.5.1

¿Aún no has actualizado WordPress?

¿Todavía estás usando alguna versión atrasada de WordPress? No te sorprendas si tu blog resulta con spam links en alguno de los posts, gracias a una reciente ola de ataques a blogs con versiones de WordPress vulnerables.

Recientemente he visto ya varios blogs que han sido victimas de estos ataques, algunos modifican la plantilla que este usando el blog; otros insertan link en un post viejo, tal como le paso a Domain Name News en uno de sus post:

Domain Name News - Spam en el post
(clic para agrandar)

Si van al post no verán los links porque están en un div que los saca de la vista (curiosamente en google reader si se ven) pero que los buscadores si los verán:

<div style="position:absolute; 
    left:-1019px; 
    top:-1390px;">

Si aún no han actualizado sus blogs, a WordPress 2.3.3 o 2.5 será hora de hacerlo antes de que sean los siguientes. Tip: revisen sus blogs via google reader, retrocediendo en los post en la busca de dichos spam links.

PD: Envie un mensaje a Domian Name News, pero parece que no hicieron caso…

Etiquetas: spammers, wordpress, seguridad, vulnerabilidades

WordPress 2.2.3, actualización de seguridad

Acaban de liberar WordPress 2.2.3, un actualización de seguridad. Corrige un fallo de seguridad que afecta a quienes tenga activados los permalinks a funcionar como URLs amigables (la mayoría de blogs). Adicionalmente han corregido algunos otros problemas menores y han aplicado cierta optimización al código.

Si ya tienes WordPress 2.2.2 puedes facilitar la actualización, al subir solo los archivos que han cambiado:

wp-includes/default-filters.php
wp-includes/feed-rss2-comments.php
wp-includes/formatting.php
wp-includes/pluggable.php
wp-includes/plugin.php
wp-includes/query.php
wp-includes/rewrite.php
wp-includes/version.php
wp-includes/widgets.php
wp-includes/rss.php
wp-includes/vars.php
xmlrpc.php
wp-mail.php
wp-admin/admin-ajax.php
wp-admin/admin-functions.php
wp-admin/install-rtl.css
wp-admin/options.php
wp-admin/rtl.css
wp-admin/widgets-rtl.css

Etiquetas de búsqueda: , ,

Agrega tu comentario

Servidores de Ubuntu comprometidos

En Slashdot han publicado la noticia de que varios servidores de Ubuntu, mantenidos por LoCos por patrocinados por Canonical, han sido comprometidos.

Entre los problemas que permitieron que estos servidores fueran comprometidos, señalan:

  • Mala administración de parte de los miembros del LoCo, al no aplicar parches de seguridad
  • Uso de FTP en lugar de SFTP
  • Exceso de uso de aplicaciones web, todas en versiones atrasas e inseguras.

La parte curiosa, es que varios parches de seguridad en el Kernel no pudieron ser aplicados por problemas con el hardware, del cual parte fue donado por Canonical. Las soluciones que Canonical presenta a los LoCo son:

  • Mover los servidores al Centro de Datos de Canonical, para tener soporte completo del equipo de Canonical pero con muchas más limitaciones.
  • Quedarse en un hosting externo, sin soporte de Canonical y con mucha mayor responsabilidad.

Este es un revés para Canonical que quiere incursionar el en mundo de los Servidores, ahora les lloverán críticas en especial de los de Debian que no aceptan a Ubuntu jeje. Ahh el trabajo diario de los sysadmins 😉

Etiquetas de búsqueda: , , , , ,

Vulnerabilidad en el plugin de Estadísticas de WordPress.com

Alex Concha encontró una vulnerabilidad de inyección SQL en el plugin de Estadísticas de WordPress.com. Si están usando dicho plugin, es obligatorio descargar la nueva versión para evitar problemas.

Como el plugin solo funciona oficialmente para blogs con WordPress 2.1 y superior, los que tengan la versión no oficial para WordPress 2.0.x deberán hacer el parche a mano. El cambio realizado consiste en agregar una linea a la función stats_get_posts:

function stats_get_posts( $args ) {
	list( $post_ids ) = $args;

	$post_ids = array_map( 'intval', (array) $post_ids );
	$r = 'include=' . join(',', $post_ids);
	$posts = get_posts( $r );
	$_posts = array();

	foreach ( $post_ids as $post_id )
		$_posts[$post_id] = stats_get_post($post_id);

	return $_posts;
}