20 de Diciembre, 2005

Disponible SeaMonkey 1.0 Beta

Por marcelo-ar - 20 de Diciembre, 2005, 3:30, Categoría: General

Ya está disponible SeaMonkey 1.0 Beta, basado en Gecko 1.8 (el mismo motor de Firefox 1.5).
Algunos cambios y novedades desde SeaMonkey 1.0 Alfa: Nuevo logo, arrastrar-y-soltar para tabs (pestañas), autoscroll, la habilidad de regresar a la pestaña anteriormente seleccionada luego de cerrar la actual y una gran cantidad de bugs resueltos.

Se preveé la versión final de SeaMonkey 1.0 para el mes de Enero de 2006.

Descarga SeaMonkey 1.0 Beta:
http://www.mozilla.org/projects/seamonkey/releases/

Referencias:
SeaMonkey 1.0 Beta Released

Nota: Los que usan la impresionante extensión MultiZilla para SeaMonkey (y Mozilla Suite) ya disponen desde hace años de esas nuevas prestaciones mencionadas (arrastrar-y-soltar de tabs + autoscroll) y muchas, muchas más!
Desgraciadamente, Multizilla no está disponible para Firefox, aunque es posible agregar algunas de las prestaciones de Multizilla en Firefox instalando no menos de cinco (o más) extensiones.

MultiZilla (versiones especificas para Mozilla Suite y SeaMonkey):
http://multizilla.mozdev.org/

XSS y revelación de ruta de instalación en phpBB <= 2.0.18

Por marcelo-ar - 20 de Diciembre, 2005, 3:18, Categoría: General

phpBB es un paquete gratuito y Open Source (de código fuente abierto) para la fácil creación de foros, altamente personalizable y con una interface amigable. Está basado en el lenguaje PHP para servidores.

Maksymilian Arciemowicz ha descubierto algunos problemas de seguridad en phpBB, los cuales podrían ser explotados por gente maliciosa para llevar a cabo ataques XSS (cross site scripting) o revelar información sensible.

El primer problema es debido a un error de validación al procesar un mensaje especialmente alterado, lo cual podría ser explotado por atacantes remotos para ocasionar la ejecución de código JavaScript arbitrario en el navegador del usuario que está visualizando el post malicioso.
La explotación exitosa de este problema, requiere que "Allow HTML" esté habilitado, lo cual no es así en la configuración por defecto.

El segundo problema es debido a un error de validación de entrada en el script "admin/admin_disallow.php" al procesar un parámetro "setmodules" especialmente alterado, lo cual podría ser explotado por atacantes para averiguar la ruta de instalación.

Productos afectados:
phpBB version 2.0.18 y anteriores.

Solución:
Al momento de publicar esta noticia no se conoce la disponibilidad de una versión parcheada.

Recomendación:
El administrador del foro deberá asegurarse que "Allow HTML" esté desactivado ("General Admin", "Configuration", y bajo "User and Forum Basic Settings" en "Allow HTML" seleccionar "No").

Reporte original:
phpBB 2.0.18 XSS and Full Path Disclosure
http://securityreason.com/securityalert/269

Referencias:
FrSIRT/ADV-2005-2991
phpBB Cross Site Scripting and Full Path Disclosure Vulnerabilities
http://www.frsirt.com/english/advisories/2005/2991

Secunia Advisory: SA18125
phpBB "Allow HTML" Script Insertion Security Issue
http://secunia.com/advisories/18125/

El Blog

Calendario

<<   Diciembre 2005  >>
LMMiJVSD
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker