2018-07-17

Disponible #Debian 9.5


Iniciamos la semana con un lanzamiento de interés: Debian 9.5, la nueva versión de la rama estable de la distribución y, por lo tanto, la versión recomendada para nuevas instalaciones a partir de ahora y hasta que la releve la siguiente.
A saber, Debian 9.5 es la quinta actualización de mantenimiento de Debian 9 Stretch, lo cual significa que no hay que esperar más novedades que las presentadas por la distribución en su momento, incluyendo componentes como el kernel Linux 4.9 LTS o los entornos de escritorio GNOME 3.22, KDE Plasma 5.8 LTS, Cinnamon 3.2, MATE 1.16, Xfce 4.12 y LXDE, total de las ediciones en vivo disponibles.
Debian 9.5 trae “correcciones para problemas de seguridad” y “ajustes para problemas serios”, según el resumen habitual. Lo más destacado en este caso son las mitigaciones correspondientes a las nuevas variantes de Spectre, las vulnerabilidades que afectan a procesadores modernos de las que llevamos hablando desde principios de año. Más información sobre Spectre en MuySeguridad.
Parches, ajustes y actualizaciones en los paquetes es básicamente todo lo que ofrece Debian 9.5, aunque como advertíamos más arriba se trata de un lanzamiento solo del interés de quienes tengan previsto realizar una nueva instalación del sistema. Los usuarios que ya dispongan de una instalación de Debian 9 actualizada están servidos. Para más datos acerca de los cambios, el anuncio oficial.
Cabe recordar que recientemente Debian 7 terminó su ciclo y Debian 8 entró en fase LTS, por lo que esta Debian 9.5 es la versión recomendada en prácticamente todos los casos de uso. Debian 9 Stretch se lanzó en junio de 2017 y mantendrá su soporte por cinco años, hasta 2022.

Descargar Debian 9.5

Por otro lado, el ciclo de desarrollo de Debian 10 hace tiempo que comenzó y el proyecto ha adelantado fechas y posibles características no solo de este, sino de sus próximas versiones.
Fuente | MuyLinux

2018-07-13

Un nuevo fallo de WhatsApp puede gastar toda tu tarifa de datos

En los últimos días han aparecido en redes sociales decenas de usuarios quejándose de un peligroso fallo de WhatsApp, que en muchos de los casos ha llegado a consumir varios gigas de datos por un fallo relacionado con las copias de seguridad que hace la aplicación de nuestras conversaciones, fotos y vídeos en Google Drive.


Las copias de seguridad están consumiendo tarifas de datos de muchos usuarios


Las copias de seguridad de WhatsApp nos permiten elegir que se suban a la nube por WiFi o por datos y WiFi. Además, nos permite elegir si queremos prescindir de los vídeos, que es el contenido más pesado. Algunos usuarios han reportado que la aplicación les ha llegado a consumir hasta 5 GB de datos haciendo estas copias, donde normalmente no gasta más que una decena de megas al día.

El problema, que parece estar afectando tanto a Android como a iOS (este con iCloud), consiste en que la operación de subida se para cuando ya hay bastante datos subidos, y vuelve a iniciarla desde cero, repitiéndose el proceso y consumiendo datos sin límite hasta que el usuario se dé cuenta o hasta que se le gaste la tarifa. Otros usuarios afirman que WhatsApp intentó subir todo el historial de conversaciones y archivos en lugar de sólo los de las últimas 24 horas, dando lugar a tal cantidad de datos.

Por ello, les recomendamos que desactive las copias de seguridad de momento hasta que WhatsApp solucione el fallo, o que pongan que sólo se hagan por WiFi; aunque en este último caso la batería se os puede gastar también rápido si está constantemente subiendo datos. Si tenéis una aplicación para medir el tráfico en vuestro móvil esto os será más sencillo de identificar.

WhatsApp va a mejorar lo que podemos hacer desde las notificaciones


Actualmente, responder a los mensajes de WhatsApp en Android es bastante cómodo, ya que podemos hacerlo incluso desde la barra de notificaciones sin tener que abrir la aplicación. Ahora, si simplemente no queremos responder, o queremos que sepan que hemos leído el mensaje sin abrir la aplicación, podremos hacerlo con la nueva funcionalidad que están empezando a activar en la app.

A partir de la versión beta 2.18.214, WhatsApp ha añadido una funcionalidad oculta que permite marcar los mensajes como leídos en la barra de notificaciones. Esta función toda no está activa ni visible, pero no tardará mucho en llegar a todos los usuarios. La opción aparece en la propia notificación de nuestro móvil, justo a la derecha de donde pone Responder.

Como suele ocurrir, la función se encuentra todavía en un estado muy embrionario, y es posible que tenga diversos fallos todavía hasta que sea posible utilizarla de manera más estable.

Otra opción que también está probando WhatsApp, y que quizá sea aún más útil que esta, es que van a permitir silenciar rápidamente un chat desde el panel de notificaciones. Aunque es recomendable silenciar los grupos donde hay mucha gente para evitar distracciones constantes, es posible que un grupo que no tengamos silenciado empiece a hablar de repente de cosas que no nos interesan.

Ambas funciones se activarán en próximas betas, para posteriormente empezar a llegar a todos los usuarios en la versión estable. Su llegada no debería demorarse más allá de dos o tres meses.

Fuente | ADSLZone

2018-07-05

Nuevo #WordPress 4.9.7 actualización de Seguridad


Está disponible para actualizar WordPress 4.9.7 como versión de seguridad, para solucionar 17 problemas detectados en la anterior versión hasta la 3.7 incluida, por lo que deberías actualizar previa realización de una copia de seguridad.

El mayor problema detectado en versiones vulnerables es que un usuario con ciertos privilegios pueda eliminar archivos fuera de /uploads.

Se han solucionado también problemas con taxonomías, eliminación de cookie de contraseña al cerrar sesión, mejoras en widgets HTML, y correcciones relacionadas con la privacidad.

Antes de actualizar es importante realizar una copia de seguridad (si tu actualización no es automática).

Mejoras y correcciones

Las versiones de WordPress 4.9.6 y las anteriores hasta la 3.7 se ven afectadas por un problema en Medios que puede facilitar el que un usuario con ciertas capacidades intente eliminar archivos fuera del directorio de subidas.

Se han solucionado 17 errores en WordPress 4.9.7:


  • Taxonomía: se mejora la gestión de la memoria caché para consultas de términos.
  • Publicaciones, tipos de publicaciones: se elimina la cookie de la contraseña al cerrar la sesión.
  • Widgets: se permite etiquetas HTML básicas en las descripciones de la barra lateral en la pantalla de administración de Widgets.
  • Panel de eventos de la comunidad: siempre muestra el WordCamp más cercano si aparece uno, incluso si hay múltiples Meetups primero.
  • Privacidad: se comprueba de que el contenido predeterminado de la Política de Privacidad no cause un error fatal al sobrescribir las reglas de reescritura fuera del contexto de administración.
  • Esta actualización no afecta a los temas nativos de WordPresss.org por lo que no sufren modificaciones.

Enlace | WebEmpresa

2018-07-03

Gentoo sufre un ataque en su cuenta principal de GitHub

Atacantes desconocidos comprometen durante unas horas la cuenta de GitHub de Gentoo utilizada como reserva de código fuente perteneciente al sistema de paquetería de la distribución


Ocho horas, desde las 20:20 (UTC) del 28 de junio hasta las 04:26 del día siguiente. Esta fue la ventana de tiempo que tuvieron los atacantes para introducir código malicioso en la cuenta de GitHub. Código malicioso que tenía como objetivo borrar todos los archivos del sistema donde se ejecutase, a través de archivos usados por el sistema de paquetería. Los archivos modificados para contener código malicioso son los llamados "ebuilds", que no son más que archivos de texto con información sobre una pieza de software concreta, especificando el nombre, el autor, cómo se debe construir el software a partir del código fuente y otras librerías...

 Por suerte, la repercusión final del ataque es bastante limitada. Lo primero que pone freno a la efectividad del ataque es que el código malicioso no funciona tal y como está, probablemente por un fallo en la programación por parte de los atacantes. Y lo segundo es que la cuenta de GitHub comprometida se usa como espejo, y no es la infraestructura principal usada por defecto por el sistema de paquetería. La principal está en servidores controlados directamente por la organización de Gentoo.

Otra medida de protección que se puede deducir del comunicado oficial de Gentoo es la verificación de los commits (unidades de actualización de código usadas en repositorios de código como Git). Cada vez que un desarrollador de Gentoo sube código al repositorio a través de un commit, ese commit va firmado por él, y el comunicado da a entender que los commits conteniendo código malicioso no venían firmados por desarrolladores de Gentoo.

Saber si estás afectado es bastante simple: si has usado esa cuenta de GitHub en los últimos días, es probable que hayas descargado código malicioso. Pero según comentaban, el código no funcionaba. Así que bastaría con sincronizar usando la infraestructura principal en vez de la cuenta de GitHub, para que los paquetes con ebuilds modificados para incluir código malicioso se sobreescriban con versiones buenas, y posteriormente poder reinstalar los paquetes instalados en los últimos días.

Fuente | una-al-dia

2018-07-01

Lanzan oficialmente el nuevo protocolo WPA3 para proteger redes Wi-Fi


Wi-Fi Alliance, la entidad que administra las tecnologías y certificaciones Wi-Fi, acaba de presentar el nuevo protocolo de seguridad para redes Wi-Fi: el esperado WPA3.

En enero de este año les contábamos que Wi-Fi Alliance había anunciado el nuevo mecanismo de seguridad. Las razones se venían conversando hace tiempo, pero se extremaron cuando apareció un serio fallo en WPA2. ¿Se acuerdan?

Si bien este error, que permitía escuchar el tráfico de los dispositivos que se comunican mediante Wi-Fi, fue parchado, se sentaron las bases para un nuevo protocolo más seguro, sobre todo para los nuevos dispositivos que se lanzarán de acá en adelante.

Al igual que sus predecesores, la Wi-Fi Alliance mencionó en un comunicado que el sistema se lanza en los modos WPA3-Personal y WPA3-Enterprise, cuya diferencia reside en en la etapa de autenticación.

WPA3-Personal utiliza un algoritmo llamado Simultaneous Authentication of Equals (SAE), que reemplaza la llamada Pre-shared Key (PSK) en WPA2-Personal. Incluso cuando los usuarios eligen contraseñas que no cumplen con las recomendaciones típicas de complejidad, el sistema provee un handshake seguro, que resiste los ataques por diccionario.

WPA3-Enterprise, por su parte, también tiene un cifrado de 192-bit que proporciona un mecanismo de seguridad adicional para entidades que manejan datos sensibles.

Además, Wi-Fi Alliance presentó un sistema llamado Wi-Fi Easy Connect, un mecanismo que reduce la complejidad para incorporar dispositivos con interfaz limitada, como los de IoT. Esto se logrará escaneando, con un smartphone, un código QR que entregará la posibilidad de configurar las opciones de otro dispositivo.

De momento WPA3 es opcional para los equipos nuevos, aunque la migración global es un hecho. Es solo cuestión de tiempo para que llegue a todos los rincones del globo.

Enlace | FayerWayer

Entradas populares