De Hispasec – Una al Día: Nueva actualización de seguridad para Joomla! (24/12/2015)

Saludos nuevamente.

Hace poco más de una semana atrás Hispasec – Una al Día publicaba una vulnerabilidad en Joomla, la cual reproduje en el blog. Bueno, ayer publicaron otra noticia al respecto. Acá se las dejo:

Nueva actualización de seguridad para Joomla!
jueves, 24 de diciembre de 2015

Hace apenas una semana Joomla! publicaba la versión 3.4.6 para evitar una vulnerabilidad 0-day, pero vuelve a publicar una nueva versión (3.4.7) destinada a corregir dos nuevas vulnerabilidades (una de gravedad alta). También se mejora la seguridad del controlador MySQLi para evitar ataques de inyección de objetos.

Tras la corrección de la vulnerabilidad crítica de la semana pasada, el equipo Joomla Security Strike ha seguido investigando sobre el problema. De esta forma se ha hecho evidente que la causa es un error en el propio PHP. Este fallo ya fue corregido por PHP en septiembre de 2015 con las versiones de PHP 5.4.45, 5.5.29 y 6.5.13 (esto ya estaba corregido en todas las versiones de PHP 7). Y aunque afecta a todas las versiones desde Joomla 1.5 a 3.4.6 los únicos sitios Joomla afectados por este error son aquellos en los que se encuentra alojado con versiones de PHP vulnerables. El equipo de Joomla es consciente de que no todos los sitios mantienen las instalaciones de PHP actualizadas, por lo que esta versión corrige el problema en versiones vulnerables de PHP.

Otra vulnerabilidad corregida reside en un filtrado inadecuado de datos que da lugar a una vulnerabilidad de inyección SQL. Afecta a Joomla 3.0.0 hasta 3.4.6.

Se ha publicado la versión 3.4.7 disponible desde

https://www.joomla.org/announcements/release-news/5643-joomla-3-4-7.html

 

Más información:

una-al-dia (15/12/2015) Vulnerabilidad 0-day crítica en Joomla!

http://unaaldia.hispasec.com/2015/12/vulnerabilidad-0-day-critica-en-joomla.html

Joomla! 3.4.7 Released

https://www.joomla.org/announcements/release-news/5643-joomla-3-4-7.html

[20151206] – Core – Session Hardening

https://developer.joomla.org/security-centre/639-20151206-core-session-hardening.html

[20151207] – Core – SQL Injection

https://developer.joomla.org/security-centre/640-20151207-core-sql-injection.html

Antonio Ropero

Twitter:@aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Joomla. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *