Viernes, 16 de Marzo de 2012 07:59

Liberado Joomla! 2.5.3 - Actualización de Seguridad

por Luis Méndez Alejo Síguenos @webempresa

Vota este articulo

(3 votos)

A pocos días de la liberación de Joomla! 2.5.2, el proyecto Joomla! anuncia la inmediata disponibilidad de Joomla! 2.5.3. Esta es una versión de seguridad y se recomienda la inmediata actualización de versiones anteriores de la misma rama y de Joomla! 1.7.x.

Se trata de una actualización crítica a Joomla! 2.5.3 ya que actualmente el exploit que permite "explotar" (valga la redundancia) la vulnerabilidad ya está publicado en Internet y es sencillo de ejecutar por parte de usuarios malintencionados.

A pesar de las dificultades que existen actualmente para muchos usuarios de actualizarse desde ramas anteriores es importante hacer un esfuerzo en la medida de lo posible para actualizarse a esta versión estable de Joomla!.

No obstante, para aquellos usuarios que no puedan actualizarse de versiones anteriores por diversas razones, una forma de protegerse contra esta vulnerabilidad es deshabilitando el componente "com_users".

¿Como hacerlo?

Copia de Seguridad del sitio, preferiblemente con Akeeba Backup.
Acceder al backend de Joomla! (/administrator).
Ir a Gestor de Extensiones, Administrar.
Filtrar por "user" o "usuario".
Localizar el componente "Users Manager" o "Gestor de Usuarios".
Deshabilitar.

Se podrá utilizar el componente de Gestor de Usuarios en el backend (administrator) pero quedará desactivado para el frontend donde puede ser explotada esta vulnerabilidad. Es obvio que en sitios web donde es necesario que los usuarios accedan como Registrados (Tiendas, etc.) esta solución no es viable ya que el componente dejará de funcionar en el frontend.

Por lo que si su sitio web no necesita disponer de funcionalidades de gestión y acceso de usuarios, esta es una medida de seguridad alternativa a la actualización de la versión de Joomla!, y como siempre recomendamos, previa copia de seguridad de su sitio web.

Otra medida adicional seria eliminar la etiqueta "generator" de la plantilla en uso. En la plantilla añadir la siguiente línea después de la instrucción JEXEC:

defined('_JEXEC') or die;
$this->setMetaData('generator','');

El objetivo del Equipo de Liderazgo de Producción (PLT) es continuar proporcionando actualizaciones regulares y frecuentes a la comunidad Joomla!. Obtenga más información sobre los Desarrollos de Joomla! en el sitio del desarrollador.

Descargas:

Instalación nueva de Joomla! 2.5.3: (paquete completo en inglés)
Paquete de actualización: (actualización de paquetes en inglés)

Nota: Por favor, lea las instrucciones de actualización antes de actualizar.

Instrucciones:

¿Quieres probar Joomla! 2.5 en español? Prueba por solo 1€ con nuestro servicio de Hosting Joomla!. Tienes Joomla! 2.5 listo para activar en 2 clics desde el propio servidor. Fíjate en este vídeo lo fácil que es instalar Joomla! 2.5 y empieza a trabajar de inmediato.

Hay que tener en cuenta que siempre se debe de realizar una copia de seguridad antes de actualizar un sitio web basado en Joomla!.

En el siguiente vídeo explicamos como actualizar fácilmente utilizando la extensión Admin Tools de Akeebabackup.com

Notas de la publicación

Verifica las Preguntas Frecuentes posteriores a la liberación de Joomla! 2.5.3 para ver si hay elementos importantes y consejos útiles descubiertos después del lanzamiento.

Estadísticas de la liberación de Joomla! 2.5.3:

2 problemas de seguridad corregidos.

Correcciones de Seguridad:

Prioridad Alta - Core - Escalación de Privilegios. Más información »
Prioridad Media - Core - Cambio de Contraseña. Más información »

Puedes leer la noticia completa, en inglés, de la liberación de Joomla! 2.5.3.

Gracias al Joomla Bug Squad por dedicar sus esfuerzos a investigar e informar, corregir problemas, y aplicar parches para Joomla!. Si encuentras un error en Joomla!, por favor, informa de ello en el gestor de incidencias del CMS.

Gracias a Jeff Channell por ayudar a mantener más seguro Joomla! y al JSST por corregir rápidamente este exploit.