jueves, 24 de diciembre de 2015

Nueva actualización de seguridad para Joomla!

Hace apenas una semana Joomla! publicaba la versión 3.4.6 para evitar una vulnerabilidad 0-day, pero vuelve a publicar una nueva versión (3.4.7) destinada a corregir dos nuevas vulnerabilidades (una de gravedad alta). También se mejora la seguridad del controlador MySQLi para evitar ataques de inyección de objetos.

Tras la corrección de la vulnerabilidad crítica de la semana pasada, el equipo Joomla Security Strike ha seguido investigando sobre el problema. De esta forma se ha hecho evidente que la causa es un error en el propio PHP. Este fallo ya fue corregido por PHP en septiembre de 2015 con las versiones de PHP 5.4.45, 5.5.29 y 6.5.13 (esto ya estaba corregido en todas las versiones de PHP 7). Y aunque afecta a todas las versiones desde Joomla 1.5 a 3.4.6 los únicos sitios Joomla afectados por este error son aquellos en los que se encuentra alojado con versiones de PHP vulnerables. El equipo de Joomla es consciente de que no todos los sitios mantienen las instalaciones de PHP actualizadas, por lo que esta versión corrige el problema en versiones vulnerables de PHP.

Otra vulnerabilidad corregida reside en un filtrado inadecuado de datos que da lugar a una vulnerabilidad de inyección SQL. Afecta a Joomla 3.0.0 hasta 3.4.6.

Se ha publicado la versión 3.4.7 disponible desde

Más información:

una-al-dia (15/12/2015) Vulnerabilidad 0-day crítica en Joomla!

Joomla! 3.4.7 Released

[20151206] - Core - Session Hardening

[20151207] - Core - SQL Injection


                                                                                                  
Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada