(Por Rubén Borlenghi, el Microsaurio) Querido usuario/administrador de Joomla!, te tengo dos noticias; una buena, una mala. La buena: hay que actualizar tu instalación (¿otra vez? sí), porque los desarrolladores publicaron nuevas versiones que solucionan defectos peligrosos para la seguridad de tu website. La mala: se publicó una nueva vulnerabilidad luego de la aparición de los parches. Me cacho… Vení que te cuento.

Primero las buenas noticias: los usuarios de Joomla! en sus versiones 1.5, 1.6 y 1.7 deben actualizarlas a las versiones 1.5.2 y 1.7.3, según sea el caso. Y no, actualización de 1.6.x no publicaron, dado que es una versión que ya no recibirá soporte; así que ténganlo en cuenta aquellos a quienes les quepa.
Versiones publicadas el 14 de noviembre:

  • 1.7.3, que incluye 2 modificaciones de código que cubren otras tantas metidas de pata en seguridad; más la solución de 77 bugs informados por usuarios.
  • 1.5.25, que soluciona un problema de seguridad (idéntico a uno de los dos de arriba) y ningún bug informado por usuarios. Ojo, que no es que la 1.5.24 no tenga bugs, es que ya no dan soporte de errores de programación para esa versión. O los usuarios actualizan todos a 1.7.x, o esperan a 1.8.x en enero del 2012, parece ser la filosofía de los desarrollajómlidos.

De más está decir que los problemas de seguridad, amablemente informados por Carne Hammena y David Jardin, eran bastante grossos. Por ejemplo, “existe la posibilidad de ejecutar código que permite con relativa facilidad al atacante el cambio del password de administrador…”

—>entendiste, ¿no?

Ahora, la mala noticia: el simpático hacker E. Shahmohamadi, iraní el muchacho, publicó ayer no diré dónde, el código de ataque necesario para aprovechar una falla de… Joomla 1.5.24.

¿Cómo aparece este anuncio antes del “parche oficial”, pero sin estar incluido? La deducción es simple: el 13 de octubre el hacker avisó a los desarrolladores. Pude saber que hubo una respuesta desde Joomla dos días después; el hacker informa de otro contacto con los desarrolladores el 2 de noviembre; el 12 el iraní publica el tema. Sospecho que los señores desarrolladores consideraron que el tema no era grave.

Sea exacta o no mi deducción, actualicen o laméntenlo, dado que hace tiempo que se sabe que la mayor vulnerabilidad de seguridad en un sistema, es un admin vagoneta.

Que les garúe finito. Si me entero de algo más, les cuento.

Por Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.