sábado, 22 de octubre de 2011

Revelación de información sensible en Joomla!

Se han publicado dos fallos de seguridad en Joomla! que podrían permitir a un atacante tener acceso a información sensible.

Joomla! es un sistema de gestión de contenidos y framework web muy popular para la realización de portales web. Cuenta con una la gran cantidad de extensiones de fácil integración que le proporcionan un gran potencial.

El primero de los fallos de seguridad fue reportado por Aung Khant, perteneciente al grupo de hacking ético YGN. El problema está en la inadecuada comprobación de errores. Un atacante remoto podría obtener información sensible. La versión de Joomla! afectada sería la 1.7.1 y anteriores. Este fallo fue reportado el dos de agosto a los desarrolladores, pero no ha sido corregido hasta el 17 de octubre.

El segundo de los fallos fue reportado por Jeff Channell y estaría basado en un cifrado débil que permitiría a atacante remoto obtener igualmente acceso a información sensible. La versión de Joomla! afectada sería la 1.5.23 y anteriores. Este fallo fue reportado el nueve de septiembre a los desarrolladores y corregido también el 17 de octubre.

La recomendación por parte de Joomla! Es la actualización a las versiones 1.5.24 o posterior y 1.7.2 o posterior.


Borja Luaces
bluaces@hispasec.com


Más información:

[20111002] - Core - Information Disclosure
http://developer.joomla.org/security/news/371-20111002-core-information-disclosure

[20111003] - Core - Information Disclosure
http://developer.joomla.org/security/news/372-20111003-core-information-disclosure

No hay comentarios:

Publicar un comentario en la entrada