Muchas veces nos encontramos con aplicaciones web que entre sus requerimientos solicitan tener register_globals activado, esto significa que el plan de Hosting que hayan contratado, deberá tener esta variable activada desde la configuración de PHP (o bien del sitio en particular). Mediante este breve artículo, pretendemos transmitirles lo malo de usar aplicaciones que tengan este requerimiento, brindando algunos ejemplos para evitar cometer estos errores.

Cuando esta directiva se encuentra activada, la misma podrá llenar de todo tipo de variables los scripts que estemos usando, este detalle, sumado al hecho de que PHP por defecto no requiere la definición de variables, se traduce en una gran facilidad para poder programar código inseguro. Por ello fue que desde la versión 4.2.0 la comunidad de desarrolladores de PHP decidieron tener esta variable desactivada por defecto en la configuración de PHP.

<?
if ( $usuario ) {
echo “Usuario correcto”;
} else {
echo “Usuario incorrecto”;
}
?>

Como se ve en este ejemplo, personas malintencionadas que navegaran la web, podrían pasar por URL (http://www.example.com/?usuario=1) la variable usuario y entrar al sistema sin contraseña.

Si bien ya estamos en la era de PHP 5 (y pronto el 6), hay mucha gente que sigue programando usando register_globals activado, los riesgos como ven son muchos, por eso les recomendamos leer esta guía: Programando PHP con register_globals = off

Tanto en planes de Hosting, Hosting Reseller, Servidores Dedicados y Administración de Servidores, INFRANETWORKING se ocupa de la administración del sistema, sea en forma básica o en forma avanzada (salvo que el cliente decida administrar el servidor dedicado por su cuenta), una de las tareas más básicas (pero no por ello importantes) es la actualizaciones del kernel Linux; por ello hoy pretendemos explicarles brevemente qué es el kernel y por qué es tan importante mantenerlo al día.

¿Qué es el Kernel?

Kernel en inglés quiere decir “núcleo”, en este caso, es el núcleo del sistema operativo que corre en tus servidores, es la parte más importante del S.O. Resumidamente, el núcleo existe para: asegurar la comunicación entre el software (aplicaciones) y el hardware (la máquina y sus componentes) y gestionar las distintas aplicaciones de una máquina, además de también gestionar el hardware (procesador, memoria, almacenamiento, etc).

¿Por qué es tan importante mantenerlo al día?

Como todo paquete, el Kernel Linux tampoco está estático, de hecho es uno de los paquetes que más actualizaciones reciben año a año. Es bueno actualizar el kernel no solo por que se añade soporte para más hardware y también funcionaldiades.

¿Pero si el servidor está estable y funcionando bien, necesito igual actualizarlo? La respuesta es SÍ, pues también se corrigen fallas de seguridad y errores en la programación (bugs) que debes actualizar, no por como esté ahora el servidor, sino por lo que podría sucederle si no lo haces.

El equipo de desarrollo del famoso foro phpBB ha lanzado una nueva versión de esta aplicación, se han corregido diversos fallos en la programación a nivel de seguridad, además de nuevas funcionalidades.

Recomendamos por esto actualizar cuanto antes todos sus foros phpBB que tienen alojados en su cuenta de Hosting, si los han instalado con la herramienta Fantástico de nuestros servidores cPanel, la misma aplicación brinda un método sencillo para actualizar a la última versión.

Descargar el nuevo phpBB

Le recordamos que es su responsabilidad mantener las aplicaciones al día.

Ha salido a la luz hace un par de días un bug en el kernel Linux, que está actualmente afectando a las versiones comprendidas entre 2.6.17 y 2.6.24.1. Entrando en detalle, afecta a la syscall vmsplice, permitiendo a usuarios no autenticados, lees y escribir en posiciones de memoria arbitrarias, dejando un hueco que hace posible una escala de privilegios para tomar el root del server.

Agunas de las distribuciones afectadas por esta falla son Fedora 8, OpenSuse, Debian, Ubuntu Gusty 7.10 y RedHat Enterprise Linux 5, cualquier servidor dedicado que corra estas distribuciones, deberá verificar el bug y parchearlo en caso de ser necesario.

Sobre este aviso, les hacemos saber que todos nuestros servidores no han sido afectados. Se puede leer algo más sober este fallo en SecurityFocus: Linux Kernel Multiple Prior to 2.6.24.1 Multiple Memory Access Vulnerabilities.

Recientemente les comentabamos El fin de PHP 4, y que nuestra empresa ya estaba brindando planes de Hosting con soporte para PHP 5 , además de esto, tenemos el agrado de comunicarles que también el soporte para MySQL 5 ha sido activado en los servidores compartidos (pues en los servidores dedicados ya existía), que hasta ahora, por motivos de estabilidad y seguridad se seguía manteniendo la rama 4.1.x

Éstas son algunas de las principales ventajas del uso de MySQL 5 a nivel de programación:

1. Store procedure (Procedimientos Almacenados):

Esta nueva caracteristica se trata de rutinas que guardas en la Base de Datos, que se las llama desde un cliente y las mismas se ejecutan dentro de una base de datos.

2. Trigger:

Son eventos que se producen cuando corres UPDATE, INSERT ó DELETE sobre una tabla. Un ejemplo sencillo, cada vez que se inserte un registro en una tabla X, se ejecutará un procedimiento almacenado que usará esos datos para raelizar una tarea específica en una nueva tabla.

3. Vistas:

Las vistas son sencillamente inmejorables, dando la posibilidad de almacenar una QUERY dentro de una BD y ejecutarla con una simple llamada.

Este soporte está disponible para cualquiera de nuestros planes de Hosting.

INFRANETWORKING es una de las pocas empresas hispanas dedicadas a la administración de servidores dedicados como servicio exclusivo.

El servicio de Administración de Servidores, es un servicio que prentede administrar y realizar el mantenimiento de los servidores dedicados que una persona pueda tener alojado en otro DataCenter que no sea el nuestro. Llevar la administración de un servidor no es tarea sencilla, se requieren años de preparación y estudio, y es normal que muchos webmasters que contratan servidores dedicados no manejados en otros DataCenters, no puedan dedicarse a estudiar sobre sistemas operativos y redes, pues su mayor interés está en producir y desarrollar sus sitios webs.

Allí es donde viene nuestro servicio, el brindarle la administración y mantenimiento que su servidor necesite, ocupándonos de la configuración, actualización, optimización, y todo lo relacionado pura y exclusivamente con los aspectos técnicos. Además de esto, también está comprendido el monitoreo, control de velocidad y estado general del servidor que se administre durante las 24 horas del día, los 365 días del año.

La empresa ofrece el servicio de Administracion de Servidores, en dos niveles, más detalles sobre los mismos pueden encontrarse aquí.

El equipo de WordPress ha detectado un nuevo fallo en la seguridad de WordPress 2.3.2 que permite que cualquier usuario registrado edite las entradas de otro usuario, si bien esto no es un fallo crítico de seguridad, una persona experimentada y con conocimientos siempre puede hacer de una pequeña vulnerabilidad, una gran pesadilla.

Recomendamos por esto actualizar cuanto antes todos sus sistemas Wordpress que tienen alojados en su cuenta de Hosting , si los han instalado con la herramienta Fantástico de nuestros servidores cPanel, la misma aplicación brinda un método sencillo para actualizar a la última versión. De lo contrario, el procedimiento a seguir será subir los archivos por FTP, y correr http://www.nombredetusitio.com/wp-admin/upgrade.php para actualizar la base de datos.

Le recordamos que es su responsabilidad mantener las aplicaciones al día.