Bugs: Mambo & Joomla | Weblinks SQL Injection Vulnerability

Acaban de salir un par de exploit para mambo y Joomla que afectan a todas sus versiones, los cuales permiten obtener credenciales como administrador.. todavía el Sitio oficial de joomla no se a echo eco de esta noticia ya que esta información esta siendo manejada en algunas comunidades cerradas de seguridad informatica. Por favor .. por el momento realizar un backup total de su sito web y borrar del mismo el Componente "Weblinks". Todavía no existe parche para este bug dado que es muy reciente.

-> Mambo & Joomla | Weblinks SQL Injection Vulnerability
-> Mambo Weblinks SQL Injection Vulnerability

+ securityfocus.com/bid/18492/info
+ joomlaspanish.org

Saludos y Buen Día
Gustavo Raúl Aragón

Se agradece el dato, pero viendo que todavia no hay solucion, no deberias anunciar donde esta el hueco, sino simplemente la solucion temporal, me parece mas prudente.

¿Quien sos para decirme lo que debo o no debo hacer?

La información existe y el exploit esta.. no voy a esconderle nada a los usuarios de la comunidad hispana.. esto es open source y así se trabaja.. conociendo donde esta la falla se generan los parches y no necesariamente el parche tiene que venir desde el core de joomla.

Saludos y Buen Día
Gustavo Raúl Aragón

Como que quien soy?, soy un usuario de este foro, y como cualquier usuario, tengo la misma libertad de comentar lo que desee, o te molesto que diera mi opinion?

------------
¿Qué es libertad de palabra?

"Hay claro está, una limitación obvia al principio de la libre palabra; sin un acto legal, es lógico hacer ilegal todo cuanto vaya en su favor. Este principio justifica el que las autoridades prohíban la incitación al asesinato, o la revolución violenta. Pero en la práctica este principio no tiene validez total Si ha de existir la libertad personal, los hombres deben tener libertad para pugnar un cambio de leyes".

Bertrand Russell (1872-1970)

molesta tu prepotencia.. tu falta de respeto.. tu arrogancia..

Debes cambiar tu actitud hacia los demas para lograr que te respeten.

Con trolls no discuto.

Pd: Algun mod que cierre el post ya que lo importante se esta desvirtuando..

Saludos y Buen Día
Gustavo Raúl Aragón

Pues ya está confirmado de forma oficial:

Joomla! "Name" SQL Injection Vulnerability
http://secunia.com/advisories/20746
has been CONFIRMED

Seguimiento completo del bug
http://forum.joomla.org/index.php/topic,70117

Gracias por la información Gustavo. Tal como mencionaste será cuestión de horas para que implementen el parche necesario.

Saludos.

Todavía no es oficial pero en cuestión de horas me animo a decir que saldrá la nueva versión de Joomla 1.0.10.

Por favor estén atentos a nuevas novedades dado el alto nivel de riesgo que corren sus portales

Adjunto lo que se acaba de actualizar en el svn de la versión 1.0.x!

This Release Contains following Security Fixes

Joomla! utilizes the Open Web Application Security Project (OWASP) web application security system to categorize security vunerabilities found within Joomla!
owasp.org/index.php/OWASP_Top_Ten_Project


** HIGH Level Threats fixed in 1.0.10

A1 Unvalidated Input
* A1 - Secured `Remember Me` functionality against SQL injection attacks
* A1 - Secured `Related Items` module against SQL injection attacks
* A1 - Secured `Weblinks` submission against SQL injection attacks


** LOW Level Threats fixed in 1.0.10
A1 Unvalidated Input
* A1 - Hardened frontend submission forms against spoofing


Saludos y Buen Día
Gustavo Raúl Aragón

Confirmado! Joomla 1.0.10 sale en horas!

Hilo completo de la discusión

Saludos y Buen Día
Gustavo Raúl Aragón

Muy buena info.

Rey Gigataras - Core Joomla
Saludos y Buen Día
Gustavo Raúl Aragón