Avisos
Vaciar todo

Extensiones con fallas de Seguridad.  

 
Rodra
 Rodra
Honorable Member

Existe un componente que ya le eche el ojo por el funcionamiento que tiene, pero la mala noticia es que tiene problemas de seguridad y la pregunta es como se puede mejorar o corregir este tipo de fallas.

Citar
Respondido : 20/06/2010 5:22 am
Luis Mendez Alejo
 Luis Mendez Alejo
Miembro Admin

Hola felipergueza,

Seria bueno que dijeses de que extensión se trata para saber si se ha actualizado, si el autor ha corregido el bug y en todo caso para informarle vía email de dicho fallo, que estoy seguro que corregirá si tiene conocimiento del mismo.

Es importante estar al día en los temas de extensiones inseguras o vulnerables, bien visitando Joomla! Extensions Directory y revisando la fecha de actualización de las mismas o siguiendo por FEEDs o Twitter algunas de las cuentas que a diario informan de este tipo de extensiones vulnerables y sobre todo y más importante aún, no utilizar en producción extensiones inestables o vulnerables pues lo más probable es lo que termina aconteciendo, un Error 500, una página en blanco o sencillamente cualquiera de los cientos de errores que podríamos recibir de MySQL.

Saludos

ResponderCitar
Respondido : 20/06/2010 6:11 am

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Rodra
 Rodra
Honorable Member
Luis Mendez Alejo
 Luis Mendez Alejo
Miembro Admin

Hola

Annonces se reporto como vulnerable el día 6 de junio, por una vulnerabilidad en los envios de anúncios y adjuntos detectada por el Team ICW de India, que momentaneamente se corrige no activando los envios para usuarios no registrados o desactivando la funcionalidad, por lo que se estan trabajando en la 1.2.4 aunque sin fecha de liberación.

Casualmente yo traduzco la extensión al portugués de Brasil y al castellano para Anthony que es el desarrollador y no hay fecha marcada para la 1.2.4 aunque espero sea pronto.

¿Cual es el problema que te presenta a ti la extensión?.

Yo la tengo corriendo en http://www.terradacavalgada.com/index.php?option=com_annonces&view=annonces&Itemid=202 y por el momento no ha habido ninguna incidencia.

Saludos

ResponderCitar
Respondido : 21/06/2010 5:06 am

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Rodra
 Rodra
Honorable Member

Annonces se reporto como vulnerable el día 6 de junio, por una vulnerabilidad en los envíos de anúncios y adjuntos detectada por el Team ICW de India, que momentaneamente se corrige no activando los envíos para usuarios no registrados o desactivando la funcionalidad, por lo que se están trabajando en la 1.2.4 aunque sin fecha de liberación.

Interesante en la manera como te documentas.

Por otro lado yo vi en la información en http://docs.joomla.org/Vulnerable_Extensions_List y pensé que esta extension tenia problemas de seguridad (mala interpretacion mia)pero ya con la información que tu me brindas me quedo tranquilo sabiendo que la información que tu brindas es creíble y sobre todo que viene de una persona de mucho conocimiento en Joomla.

Me gusto el uso que le diste la extensión de Annonces para el uso vacuno.

Saludos.

ResponderCitar
Respondido : 21/06/2010 4:53 pm
Luis Mendez Alejo
 Luis Mendez Alejo
Miembro Admin

Hola

Efectivamente dicha vulnerabilidad se reportó en el Wiki Vulnerable Extensions List - Joomla! Documentation - pero el impacto como bien te digo es MEDIO o BAJO ya que normalmente la extensión solo permite publicar anuncios a usuarios previamente registrados lo que reduce el impacto notablemente.

Normalmente procuro documentarme bien antes de reportar alguna vulnerabilidad o de hacerme eco de la misma, bien revisando el correspondiente exploit o poniendolo en practica para ver si efectivamente es vulnerable en condiciones normales o solo bajo determinadas circunstancias, ya que una extension sea vulnerable no significa que deje nuestro sitio web en riesgo, no podemos obviar las medidas de seguridad implementadas en los servidores por parte de los administradores (mod_security, iptables, ID,s, etc) lo que hace que vulnerar un sitio no dependa solo de las condiciones del propio sitio, pues seguramente saltarian muchas alarmas en los logs de los servers durante el proceso de cautivación o defacing del sitio web.

La modificación realizada en Annonces es por causa del alto precio que tiene la extensión Auction Factory y lo vulnerable que han resultado otras extensiones similares, si bien en Joomla! no hay demasiadas herramientas para este tipo de cosas.

Estoy queriendo trabajar en una extensión similar con otro compañero para implementar mejoras en la misma, por tanto seria un fork de Annonces, para dotarla de funcionalidades como campos customizables por el usuario, modo de listado en formato tabla o consulta, posibilidad de obtener el artículo en pdf o impreso, etc., pero todo lleva su tiempo.

Te participo que mi nivel de conocimiento de Joomla! es del 3% frente al de Webempresa, eso te lo puedo asegurar sin dudar.

Saludos

ResponderCitar
Respondido : 21/06/2010 5:10 pm

Cursos Gratuitos WordPress

Rodra
 Rodra
Honorable Member

Es cierto la gente que tiene web empresa vale oro por el conocimiento que tienen en cuanto a Joomla, esto lo he comprobado con la ayuda que me han proporcionado ya que cosas que antes no las habia hecho aqui las aprendi.

ResponderCitar
Respondido : 21/06/2010 7:25 pm
Jordi Sala
 Jordi Sala
Miembro Admin

Hola felipergueza,

Gracias por tus comentarios. Valoraciones como la que has realizado, sobre las tareas que desempeñamos en Webempresa nos ayudan a seguir con más animo en nuestro trabajo y seguir avanzando en nuestro conocimiento sobre Joomla!, y compartirlo !!!.

Celebramos que el foro haya sido para ti una herramienta útil para adquirir conocimiento sobre Joomla! y avanzar en tus proyectos.

Saludos,

ResponderCitar
Respondido : 21/06/2010 8:05 pm

wpdoctor-revisa-la-salud-de-tu-wordpress