martes, 27 de octubre de 2015

El Avance de TUX en la UCV


Encaminados hacia la migración


La Universidad Central de Venezuela está asumiendo su compromiso con la Migración hacia Software Libre no sólo por el acatamiento de un lineamiento expresado por el Gobierno Venezolano, sino como una oportunidad que se presenta para generar nuevos desarrollos, poder compartirlos con instituciones gubernamentales y tener acceso a soluciones que pudiesen ser implementadas y adaptadas a nuestra Institución, con el apoyo de comunidades organizadas y orientadas al cumplimiento de las cuatro libertades que contempla el Software Libre.

Como miembros de esta comunidad universitaria debemos ejercer un rol protagónico en todo este proceso donde se asuma una “alicuota” en la responsabilidad que tiene la Universidad con el país, de generar el conocimiento requerido para proponer soluciones tecnológicas que atiendan las necesidades de la Institución e incluso del país, así como fomentar el uso de tecnologías libres dentro y fuera de nuestra Institución.

En aras de asumir este rol e incentivar las iniciativas estudiantiles de quienes son fieles entusiastas del movimiento de Software Libre, la Dirección de Tecnología de Información y Comunicaciones ha emprendido un camino conjuntamente con el Grupo de Extensión Estudiantil UCV Libre de la Facultad de Ciencias, con una actitud optimista y desafiante para afrontar los retos que se presentarán durante la migración.

En tal sentido, se está trabajando en una propuesta de una distribución personalizada basada en Ubuntu Minimal 14.04, dado que esta versión sólo incluye las funcionalidades básicas necesarias de un sistema operativo, con la finalidad de ir incorporando aquellas aplicaciones y extensiones requeridas para satisfacer las necesidades del ambiente de trabajo de los usuarios finales, considerando los recursos disponibles de memoria RAM, capacidad disco duro y tipo de procesador que estén presentes en un equipo de computación en particular.

Esta propuesta personalizada busca mostrar una imagen e identidad ucevista y de hecho se denominó Ararauna, por el nombre científico de las guacamayas caracterizadas por sus colores azul y amarillo, que abundan en nuestra Ciudad Universitaria.

Ararauna presenta una combinación de robustez, por estar basado en una distribución estable que garantiza un soporte prolongado de 5 años y dinamismo en la actualización de controladores (drivers) disponibles para la plataforma; y amigabilidad por su interfaz que pretende minimizar el impacto a la transición, por parte del usuario final.

Otra ventaja de esta distribución es la versatilidad que se maneja para darle cabida a equipos con bajos recursos computacionales, ofreciendo una serie de  aplicaciones ofimáticas básicas, hasta equipos con una robustez tal, que permite mostrar una interfaz con alta resolución, desplegando una gama de aplicaciones también robustas y más complejas. Es por ello que esta distribución se concibió bajo tres versiones:
  • GNU/LINUX Ararauna 32 bits (LIGERA) la cual incluye aplicaciones ofimáticas básicas bajo el escritorio LXDE.
  • GNU/LINUX Ararauna 32 bits (MEDIA) la cual incluye aplicaciones ofimáticas robustas bajo el escritorio LXDE.
  • GNU/LINUX Ararauna 64 bits (ALTA) la cual incluye aplicaciones ofimáticas robustas bajo el escritorio KDE.
Las dos últimas versiones se pueden descargar desde un repositorio temporal http://190.169.20.101/ararauna/iso/, próximamente estará disponible la versión ligera. A través de este repositorio, se garantizarán las actualizaciones de la distribución en los equipos de los usuarios de manera remota y desasistida.

Actualmente, la DTIC transita una fase de prueba en las etapas de instalación y configuración de la distribución bajo dos versiones, en equipos de computación ya sea PC o equipo portátil. Posteriormente, se debe incorporar dichos equipos a un ambiente operativo corporativo bajo Software Libre, donde se tenga una autenticación de usuarios para acceder a los múltiples servicios tecnológicos corporativos que se ofrecen a la comunidad universitaria.

El éxito de esta propuesta está centrada en el grado de compromiso, responsabilidad e interés por parte de los miembros de la Institución en formar parte de esta comunidad  que debe organizarse para llevar un control de cambios o versiones de la distribución ante fallas o limitaciones que puedan presentarse a lo largo de su implementación como el nuevo ambiente operativo de los usuarios finales.


viernes, 16 de octubre de 2015

Vulnerabilidad de WordPress


 [0-Day] WordPress Permite que Controlen Sitios con Falsos Comentarios


Un investigador de seguridad finlandesa ha descubierto una vulnerabilidad de día cero crítico en el motor central del sistema de gestión de contenidos de WordPress.

El CMS WordPress que es utilizada por millones de sitios web, es vulnerable a una falla de día cero que podría permitir a los hackers la ejecución de código remoto en el servidor Web con el fin de tomar el control total de la misma.

La vulnerabilidad, encontrada por Jouko Pynnönen de la empresa de seguridad con sede en Finlandia Klikki Oy, es un Cross-Site Scripting (XSS) que ataca el sistema de comentarios de WordPress.
La vulnerabilidad afecta a las versiones de WordPress 3.9.3, 4.1.1, 4.1.2, y la última versión de WordPress 4.2.

La explotación de la vulnerabilidad 0-Day:

La vulnerabilidad permite a un hacker inyectar código JavaScript malicioso en la sección de comentarios que aparece en la parte inferior de millones de blogs de WordPress.

Esto podría permitir a los hackers cambiar contraseñas, añadir nuevos administradores, o tomar otras acciones que sólo pueden ser realizadas por el administrador legítimo de la página web. Esto es lo que llamamos un ataque de cross-site scripting.

Cómo explotar el 0-Day?

El exploit de día cero, ocurre mediante la publicación de un simple código JavaScript en forma de comentario y luego añade hasta por 66.000 caracteres o más de 64 KB de tamaño.

Cuando el comentario es procesado por una persona con derechos de administrador de WordPress a la página web, el código malicioso se ejecuta sin dar ninguna indicación al administrador.

Por defecto, WordPress no publica automáticamente el comentario de un usuario a menos que el usuario haya sido aprobado por el administrador del sitio.

Los hackers pueden eludir esta limitación engañando al administrador con su primer comentario benigno, que una vez aprobado permitiría que los comentarios maliciosos sean también aprobados de forma automática y así publicarse.

WordPress parcha el defecto 0-Day:

Con el fin de solucionar el problema de seguridad, los administradores deben actualizar su CMS Wordpress 4.2.1. "Esta es una versión de seguridad crítica para todas las versiones anteriores y alentamos firmemente que actualice sus sitios de inmediato", dijo el equipo de WordPress sobre esta última versión.

Según informes, WordPress versión 4.2.1 soluciona la vulnerabilidad de día cero reportado por Pynnonen.

Así que si usted es dueño de un sitio web de WordPress, asegúrese de que ejecuta una versión actualizada de la CMS con todos los plugins hasta a la fecha.

En la siguiente página encontrará la última versión de WordPress: https://wordpress.org/news/2015/04/wordpress-4-2-1/