Actualización de Seguridad en WordPress 5.3.1

Esta actualización de seguridad y mantenimiento incluye 46 correcciones y mejoras. Además, añade una buena cantidad de correcciones de seguridad – ve la lista abajo.

WordPress 5.3.1 es una actualización de mantenimiento de ciclo corto. La siguiente versión mayor será la 5.4.

Puedes descargar WordPress 5.3.1 desde el botón de la parte superior de esta página, o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios compatibles con las actualizaciones automáticas en segundo plano ya hemos empezado el proceso de actualización.

Actualizaciones de seguridad

Cuatro problemas de seguridad afectan a las versiones de WordPress 5.3 y anteriores; la versión 5.3.1 los corrige así que querrás actualizar. Si aún no has actualizado a la versión 5.3, hay también versiones actualizadas de la versión 5.2 y anteriores que corrigen los problemas de seguridad.

• Gracias a Daniel Bachhuber por descubrir un problema por el que un usuario sin privilegios podría fijar una entrada mediante la REST API.
• Gracias a Simon Scannell de RIPS Technologies por descubrir y divulgar un problema por el que se podría almacenar un script en sitios cruzados (XSS) en enlaces bien creados.
• Gracias al equipo de seguirdad de WordPress.org por fortalecer wp_kses_bad_protocol() para asegurar que es consciente del atributo de guión.
• Gracias a Nguyen The Duc por descubrir una vulnerabilidad XSS almacenada al usar el contenido del editor de bloques.
• Actualizaciones de mantenimiento

Aquí tienes algunos de los cambios destacables:

• Administración: mejoras en la estandarización de los controles de altura y alineamiento de los formularios (ve la nota de desarrollo relacionada), accesibilidad de los enlaces de widgets en el escritorio y problemas de legibilidad del esquema de color alterno (ve la nota de desarrollo).
• Editor de bloques: corrige problemas de scroll en Edge y problemas intermitentes de JavaScript.
• Temas incluidos: añadida opción al personalizador para mostrar/ocultar la biografía del autor, reemplazo del scroll suave basado en JS con CSS (ve la nota de desarrollo) y corrige el CSS de incrustados de Instagram.
• Fecha/Hora: mejora en el cálculo de fechas no-GMT, corrige la visualización del formato de fecha en idiomas específicos y hace que get_permalink() sea más resiliente frente a cambios de zona horaria con PHP.
• Incrustados: eliminado el proveedor de oEmbed CollegeHumor ya que el servicio ya no existe.
• Bibliotecas externas: actualización de sodium_compat.
• Salud del sitio: permite que se filtre el intervalo de recordatorio para el correo electrónico de verificación al administrador.
• Subidas: se evita que las miniaturas sobreescriban otras subidas cuando coincida el nombre de archivo, y excluye a las imágenes PNG del escalado tras la subida.
• Usuarios: se asegura que la verificación de correo electrónico de administración utiliza el idioma local del usuario en vez del idioma local del sitio.

Para más información revisa la lista completa de cambios en el Trac o echa un vistazo a la página de documentación en HelpHub de la version 5.3.1.

Fuente | WordPress.org

Ya disponible la nueva versión de nftables 0.9.3

Hace algunos días fue liberada la nueva versión del filtro de paquetes nftables 0.9.3, que se desarrolla como reemplazo de iptables, ip6table, arptables y ebtables debido a la unificación de las interfaces de filtrado de paquetes para IPv4, IPv6, ARP y puentes de red.

El paquete nftables usa partes estructurales de la infraestructura Netfilter, como el connection tracking system (sistema de seguimiento de conexiones) o el subsistema de registro. También hay prevista una capa de compatibilidad para la traducción de las ya existentes reglas del cortafuegos iptables a sus equivalentes en nftables.

Sobre Nftables

Nftables incluye componentes de filtro de paquetes que funcionan en el espacio del usuario, mientras que a nivel del kernel, el subsistema nf_tables proporciona una parte del kernel de Linux desde la versión 3.13.

A nivel del núcleo, solo se proporciona una interfaz común que es independiente de un protocolo específico y proporciona funciones básicas para extraer datos de paquetes, realizar operaciones de datos y controlar el flujo.

La lógica de filtrado en sí y los procesadores específicos del protocolo se compilan en un bytecode en el espacio del usuario, después de lo cual este bytecode se carga en el kernel usando la interfaz Netlink y se ejecuta en una máquina virtual especial que se parece a BPF (Berkeley Packet Filters).

Este enfoque le permite reducir significativamente el tamaño del código de filtrado que se ejecuta a nivel del núcleo y eliminar todas las funciones de las reglas de análisis y la lógica de trabajar con protocolos en el espacio del usuario.

Las principales ventajas de nftables son:

• Arquitectura que está integrada en el núcleo
• Una sintaxis que consolida las herramientas de IPtables en una única herramienta de línea de comandos
• Una capa de compatibilidad que permite el uso de la sintaxis de reglas de IPtables.
• Una nueva sintaxis fácil de aprender.
• Proceso simplificado de agregar reglas de firewall.
• Informe de errores mejorado.
• Reducción en la replicación de código.
• Mejor rendimiento general, retención y cambios graduales en el filtrado de reglas.

¿Qué hay de nuevo en nftables 0.9.3?

En esta nueva versión de nftables 0.9.3 se añadió el soporte para paquetes coincidentes a lo largo del tiempo. Con ello se puede definir los intervalos de tiempo y fecha en los que se activará la regla y configurar la activación en días individuales de la semana. También se agregó una nueva opción “-T” para mostrar el tiempo de la época en segundos.

Otro de los cambios que se destacan es el soporte para restaurar y guardar etiquetas SELinux (secmark), sí como también el soporte para listas de mapas synproxy, lo que le permite definir más de una regla por backend.

De los demás cambios que se destacan de esta nueva versión:

• Posibilidad de eliminar dinámicamente elementos set-set de las reglas de procesamiento de paquetes.
• Soporte para mapeo de VLAN por identificador y protocolo definido en los metadatos de la interfaz del puente de red
• Opción “-t” (“–terse”) para excluir elementos set-set al mostrar reglas. Al ejecutar “nft -t list ruleset”, se mostrará:
• Conjunto de reglas nft list.
• La capacidad de especificar más de un dispositivo en cadenas netdev (funciona solo con el kernel 5.5) para combinar reglas de filtrado comunes.
• Posibilidad de agregar descripciones de tipos de datos.
• Capacidad para construir una interfaz CLI con la biblioteca linenoise en lugar de libreadline.
• ¿Cómo instalar la nueva versión de nftables 0.9.3?
• Para obtener la nueva versión de momento solo se puede compilar el código fuente en su sistema. Aunque en cuestión de días estarán disponibles los paquetes binarios ya compilados dentro de las diferentes distribuciones de Linux.

Además de que los cambios necesarios para que funcione la versión nftables 0.9.3 están incluidos en la futura rama del kernel de Linux 5.5. Por lo que para realizar la compilación debes contar con las siguientes dependencias instaladas:

libmnl 
libnftnl

Estas las puedes compilar con:

./autogen.sh
./configure
make
make install

Y para nftables 0.9.3 este lo descargamos desde el siguiente enlace. Y la compilación se realiza con los siguientes comandos:

cd nftables
./autogen.sh
./configure
make
make install

Fuente | Blog Desde Linux

.htaccess en modo mantenimiento

Entiendo que la expresión del título no es la correcta, ya que la idea de este pequeño post es añadir una configuración al archivo .htaccess de un servidor Apache2 para capturar todas las peticiones y redireccionarlas a una página estática.

Este tipo de práctica es muy simple y además clave al momento de realizar alguna tarea de mantenimiento, actualización, etc.

Yo la suelo utilizar al momento de publicar por ejemplo la fortificación y actualización de un proyecto en WordPress o cuando de repente nos encontramos con una web a la que le realizaron algún Defacement y queremos utilizar redirección 302 hacia una determinada web.

Lo primero que les recomiendo es que tengan una página estática con algún mensaje acorde a la tarea que se va a realizar, algo tan simple como el siguiente ejemplo y a la que le podrían agregar el nombre de mantenimiento.html

Ahora bien, sobre el archivo de configuraciones .htaccess añadimos al principio las siguientes directivas:

RewriteEngine on
RewriteCond %{REQUEST_URI} !/mantenimiento.html$
RewriteRule $ /mantenimiento.html [R=302,L]

A partir de este momento, solo se va a estar visualizando el contenido de la página mantenimiento.html capturando todas la peticiones y otorgandonos la tranquilidad de poder trabajar mientras se muestra este mensaje.

Si te gustó este post, te invito a que lo compartas en las redes sociales o me dejes un comentario! Me ayudas a difundirlo? Gracias.

Saludos!