3.9.2, 3.8.4, y 3.7.4. Actualizaciones de seguridad

Si tu sitio WordPress estaba en la versión 3.9.1 o en la versión 3.8.3, esta noche se te debe haber actualizado automáticamente. Para los que tengáis las versiones 3.7.3, o tengáis las actualizaciones automáticas desactivadas, es muy recomendable actualizar WordPress cuanto antes.

 Esta actualización de seguridad arregla un problema de posible acceso remoto que puede llegar a daros problemas, así que volvemos a recomendaros actualizar cuanto antes.

WordPress 3.6.1 (Actualización de mantenimiento y seguridad)

Acaba de ser liberada la versión 3.6.1 de WordPress, una actualización que resuelve 13 errores y algunos fallos de seguridad:

  • Bloquea «deserializaciones» de PHP  no seguras que podrían, en algunas instalaciones y configuraciones, conducir a ejecución de código remoto. Reportado por Tom Van Goethem.
  • Previene que un usuario con rol de Autor, utilizando una llamda muy elaborada, pueda crear una entrada «escrita por» otro usuario. Reportado por Anakorn Kyavatanakij.
  • Arregla validaciones de entrada insuficiente que podría conllevar una redirección a otras webs. Reportado por Dave Cummo, de Northrup Grumman subcontratados por  U.S. Centers for Disease Control and Prevention.

También se han ajustado algunas restricciones de la subida de archivos para limitar el riesgo de «cross-site scripting».

Al ser una versión de seguridad, se recomienda encarecidamente actualizar las instalaciones. Basta con ir a Escritorio –> Actualizaciones.

(Esta entrada es una adaptación de la oficial en inglés).

Puedes encontrar más información sobre actualizaciones en el Codex.

WordPress 3.4.1 (actualización de seguridad)

Se ha publicado la primera actualización de seguridad de WordPress 3.4 (Green). Resuelve algunos problemas y vulnerabilidades:

  1. Las plantillas de los temas que, en determinados casos, no se detectaban
  2. La estructura de los enlaces permanentes de algunas categorías
  3. La carga de Javascript en algunos plugins y temas
  4. Mejora la subida de contenidos en iOS 6,
  5. Permite algunas acciones para detectar activaciones en redes
  6. Mejor compatibilidad con servidores que van sobre algunas versiones de PHP (5.2.4 ó 5.4) con configuraciones poco comunes  (safe mode, open_basedir), que creaba alertas o impedía que se enviaran algunos correos

También se resuelven algunas vulnerabilidades más serias: la revelación de información y un error con usuarios no seguros de instalaciones multisite.  El equipo de seguridad de WordPress las ha detectado y arreglado.

Podéis verlo en detalle en la entrada original el inglés y los cambios específicos en el trac.

Descarga la versión 3.4.1  (es_ES)  o dirigete a tu Escritorio → Actualizaciones en la administración de tu sitio para actualizar WordPress.

WordPress 3.3.2 (actualización de seguridad)

Ya está disponible la actualización 3.3.2, una actualización de seguridad que soluciona diversas vulnerabilidades:

  • Plupload (versión 1.5.4), que WordPress utiliza para subir archivos.
  • SWFUpload, que WordPress utilizaba antes para subir archivos y puede seguir en uso por parte de plugins.
  • SWFObject, que WordPress utilizaba antes para incrustar contenido Falsh y puede seguir en uso por parte de plugins y temas.
  • Escalado limitado de privilegios cuando un administrador de sitio podía desactivar plugins para toda la red al ejecutar una red WordPress en ciertas circunstancias
  • Vulnerabilidad XSS al hacer URLs clicables
  • Vulnerabilidad XSS en redirecciones tras publicar comentarios en navegadores antiguos, y al filtrar URLs

Reseteo de contraseñas

Esta mañana el equipo de WordPress ha encontrado actualizaciones sospechosas de algunos de los plugins más populares (AddThis, WPtouch, y W3 Total Cache) que contenían puertas traseras hábilmente disfrazadas. Hemos determinado que las actualizaciones no fueron de los autores, por lo que las eliminamos, avisamos de una nueva actualización de cada plugin, y cerramos el acceso al repositorio de plugins mientras revisábamos el sistema.

Todavía estamos investigando qué ha pasado, pero como medida de control hemos decidido forzar un reseteo para todas las contraseñas de WordPress.org [esto incluye las de GlotPress]. Para usar los foros, el trac, o actualizar por SVN un plugin o un tema, tendrás que resetear tu contraseña. (Tendrás que hacer lo mismo para bbPress.org y BuddyPress.org.)

Como usuario, asegúrate de que nunca utilizas la misma contraseña para dos servicios diferentes, y te aconsejamos encarecidamente que, al cambiar tu contraseña, no utilices la misma que antiguamente.

Segundo, si utilizas AddThisWPtouch, o W3 Total Cache y hay posibilidad de que lo hayas actualizado en el día de ayer, asegúrate de visitar tu página de actualizaciones y actualizar todos los plugins a su última versión.

Original en https://wordpress.org/news/2011/06/passwords-reset/