Artículo original: Joomla en Español
Joomla! 1.0.11 "Pajaro de fuego" (Sunbird) esta disponible desde el Lunes 28 de Agosto de 2006 a las 24:00 UTC para ser descargado aquí.. y esta designado como una versión de seguridad ¡critica!.
Todos los usuarios de Joomla! existentes deben actualizar sus sitios a esta versión, debido a varias vulnerabilidades de "Alto Nivel" (High Level) que afectan a todas las versiones previas de Joomla!.
Joomla! 1.0.11 contiene las siguientes reparaciones críticas de seguridad.
- 04 Reparaciones de seguridad de Nivel Alto
- 04 Reparaciones de seguridad de Nivel Medio
- 18 De nivel bajo
- 25 Reparaciones generales de bugs
Si esta usando cualquier versión previa de Joomla! Necesita actualizar a la versión 1.0.11 lo antes posible.
- 1.0.11 Descarga (versión en inglés)
- 1.0.11 Información de la versión
- 1.0.11 Agenda de cambios (changelog)
- 1.0.11 Package File MD5 checksums
Joomla! 1.0.11 | Revision 4826 -> Mambots Bug Fix!
_______________________________________
El proyecto Joomla! esta y siempre estuvo comprometido con el principio de "La Seguridad primero" y nuevas iniciativas continuaran siendo impulsadas para reforzar y perpetuar este principio. Joomla 1.0.11 destaca un esfuerzo redoblado de poner seguridad a la vanguardia en el léxico de todos.
Como en la mayoría del software, la seguridad es una constante y evolutiva batalla entre los desarrolladores de las aplicaciones y los hackers. Las crecientes amenazas descubiertas en el universo Joomla! indican nada mas que un incremento en el uso de Joomla! a través del mundo y debido a esto, un incremento en el interés de los hackers. Esto sin embargo, sirve para recordarnos a todos, desarrolladores y usuarios, que la seguridad es una eterna vigilia y uno no puede descansar.
Para tal fin, es extremadamente importante que todos se tomen un tiempo para leer toda la información contenida en este Parte de Prensa oficial para Joomla! versión 1.0.11.
Reparaciones o arreglos de seguridad
Joomla! 1.0.11 contiene veintiséis (26) reparaciones para vulnerabilidades de nivel Alto, Medio y Bajo. La mayoría de estas vulnerabilidades afectan a todas las versiones previas de Joomla!.
04 Amenazas reparadas de NIVEL ALTO
A1 Entrada invalidada (Invalidated input)
* Asegurado mosMail() en contra de una entrada invalida
* Asegurado JosIsValidEmail() - en versiones previas la existencia de una dirección de email en algún lugar de la sentencia o string era suficiente.
A6 Defectos de Inyección (Injection Flaws)
Reparado asunto de ejecución remota en PEAR.php
Reparado Zend Hash Del Key O Index Vulnerability (Vulnerabilidad del Index)
04 Amenazas reparadas de NIVEL MEDIO
A1 Entrada invalidada (Unvalidated Input)
* globals.php no incluido en administrator/index.php
A2 Control de acceso roto (Broken Access Control)
* Agregados chequeos de defined( '_VALID_MOS' ) que estaban perdidos
* Limitando la función de administración `Subir Imagen` de subir debajo del directorio `/images/stories/`
* Reparado comando do_pdf evitando la identificación del usuario
18 Amenazas reparadas de NIVEL BAJO
A1 Entrada invalidada (Unvalidated Input)
* Endurecimiento o refuerzo de la función `User Manager` `Administración de Usuarios' en la zona de administración.
* Endurecimiento o refuerzo del modulo de encuesta
* Reparada la funcion josSpoofValue para asegurarse de que el hash es una string.
A2 Acceso de control roto (Broken Access Control)
* Asegurado com_content para no permitirle a las tareas 'emailform' e 'emailsend'
si $mosConfig_hideEmail esta configurado
* Reparado emailform com_content tarea salteando la autentificación del usuario
* Acceso limitado a la funcionalidad 'popups' de la administración.
A4 Codigo cruzado (Cross Site Scripting)
* Reparado asunto de inyección (XSS injection) en Admin `Module Manager` 'Administrador de módulos'
* Reparado asunto de inyección (XSS injection) en Admin `Help` `Ayuda`
* Reparado asunto de inyección (XSS injection) en Buscar.
A6 Amenazas de inyeccion (Injection Flaws)
* Refuerzo en la carga de globals.php usando require() en lugar de include_once();
* Bloqueo de mal uso potencial de la variable $option
* Bloqueo en contra de una cuestión de inyección en admin. `Upload Image` `Subir Imagen`
* Asegurado en contra de posibles ataques de inyección sobre ->load()
* Asegurado en contra de ataque de inyección sobre enviaos de contenido en donde el frontpag o portada es seleccionado.
* Asegurado en contra de posible ataque de inyección a través de constructor mosPageNav
* Asegurado en contra de posible ataque de inyección a través de funciones saveOrder
* Añadidas reglas anti exploits en el htaccess
* Endurecimiento del ACL en contra de posibles ataques de inyección
Vulnerabilidades de NIVEL ALTO (High Level Vulnerabilities)
1.0.11 corrige 4 vulnerabilidades de seguridad de NIVEL ALTO que afectan a todas las versiones previas de la serie Joomla! 1.0.x . De hecho es muy probable que la mayoría de estas vulnerabilidades (incluidas las de NIVEL ALTO) también afecten a versiones antiguas de Mambo. Por lo tanto recomendamos insistentemente a todos los usuarios de Joomla! a que actualicen inmediatamente a Joomla! 1.0.11
En las ultimas semanas, los sitios Joomla! generaron un incremento en la atención de la comunidad hacker. Esto ha conducido al descubrimiento de varias vulnerabilidades de seguridad en el core de Joomla! 1.0.x (que han sido corregidas en por la versión 1.0.11) y en extensiones de 3eros (3rd Party extensions).
Por lo tanto es de primaria importancia que la seguridad este en lo mas altos de sus prioridades. Para tal fin los animamos efusivamente a que lean por la Lista de comprobación de seguridad (Security Checklist) - armada por el moderador del foro de seguridad (rliskey):
.htaccess
Una forma fácil de bloquear la mayoría de los intentos de hacking que se usan actualmente es utilizando las reglas .htaccess armada por nuestro Técnico lider de Calidad y Testeo (RobS):
Estas reglas .htaccess extras ahora son partes básicas de Joomla! en la versión 1.0.11 dentro del archivo htaccess.txt . Si embargo si esta actualizando su sito, entonces necesitara insertar manualmente las reglas a su archivo .htaccess .Estas adiciones al archivo .htaccess ayudaran a proteger a las extensiones de 3eros que sean vulnerables de los ataques en su contra.Se recomienda enfáticamente que implementen esto en sus sitios actuales de Joomla! y en sus sitios futuros.
Configuraciones de seguridad para el motor PHP
Existen dos opciones PHP en particular que pueden ayudar a incrementar dramáticamente la seguridad de su sitio, especialmente en contra de vulnerabilidades desconocidas aún. En realidad, sitios con estas opciones configuradas correctamente han estado a salvo de la mayoría de los últimos ataques a extensiones de 3eros.:
* Register Globals
* Magic Quotes
Necesita asegurarse de que estas dos opciones estén configuradas en su sistema:
* Register Globals = `OFF`
* Magic Quotes = `ON`
Para revisar el valor de estas opciones, vaya a la pagina de información de sistema en su trastienda (zona de administración) (System -> System Info) "esp (Sistema -> Información del sistema)"
Core Settings (Opciones básicas)
También existe una opción base (core) de Joomla! que puede provocar una amenaza potencial de seguridad:
* Emulación del registro global (RG_Emulation)
Su sistema esta seguro cuando esta opción esta configurada en `OFF`. Sin embargo, por defecto las versiones Joomla! 1.0.x tienen esta opción configurada en `ON`, así también como en versiones previas. Esto es así a causa de que un numero de extensiones de 3eros todavía no están escritas para trabajar con esta opción configurada en `OFF` y no funcionarían correctamente. Por lo tanto se ha decidido mantener esta opción en `ON` por defecto en Joomla! 1.0.11, para evitar incompatibilidades durante esta altamente recomendable actualización critica del core de Joomla!, permitiéndole actualizar Joomla! sin peligro antes de repasar la compatibilidad de sus extensiones y configurar este parámetro en OFF cuando sea apropiado para su sitio. Sin embargo, le sugerimos que pruebe para ver si su sitio y sus extensiones continuaran trabajando correctamente con este parámetro configurado en `OFF` puesto que su sitio estará mucho mas seguro cuando corra en este ambiente.
En Joomla! 1.5, la emulación del registro global estará configurado en `OFF por defecto`.
Para cambiar este parámetro a `OFF`, necesitara editar su archivo globals.php (que se encuentra en el directorio raíz o root de su sitios) y buscar la línea:
define( 'RG_EMULATION', 1 );
Cambiar por:
define( 'RG_EMULATION', 0 );