Ago 13 2008
Joomla! 1.5.6, security update (bug muy grave, actualiza ya tu 1.5.x) y parche rápido.
Hola amigos, como viene siendo habitual me hago eco de una grave vulnerabilidad que afecta a Joomla! 1.5.5 y versiones anteriores con resultados devastadores. (He hecho alguna prueba y os aseguro que no es alarmismo)
No voy a poner el código del exploit (que ya lo vi ayer día 12) ni el link, pero si que os comento que es de muy sencilla aplicación, usándolo en combinación con la típica opción de “olvidé mi contraseña” un usuario no autorizado se convierte “fácilmente” en administrador y…adiós Joomla!.
Si quieres parchear únicamente este bug antes de actualizar todo el CMS puedes hacerlo del modo que comentan en la web de desarrollo de Joomla!;
Busca en /components/com_user/models/reset.php
Despúes de; global $mainframe; en la línea 113 de reset.php, añade:
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}
Y el tema quedará resuelto, pero por favor, comprueba la fuente original en Joomla! (hazlo siempre porque podemos confundirnos en algún punto y meter la pata, siempre la web con la info original en temas de estos).
Más info y descarga de Joomla! 1.5.6
Technorati Tags: Joomla, seguridad, exploit, bug, vulnerabilidad, CMS, blog, web
Comparte este contenido de DaboBlog
Agosto 13th, 2008 at 11:59 pm
¿Solo afecta a la rama 1.5.x?
Agosto 14th, 2008 at 12:02 am
Si bro y viendo el desarrollo de esta 1.5.x me quedo más tranquilo con la “vieja” y estable 1.0.x. ¿ A qué somos dos?
Saludos -;)
Agosto 14th, 2008 at 12:20 am
Jaja, acabo de verlo en el foro y sí … mucho más tranquilo, ambos sabemos que lo más nuevo no siempre es lo mejor ;-)
Agosto 14th, 2008 at 1:17 am
Pues si, la verdad es que con WP ando con lo último pero en Joomla donde esté la rama 1.0.x,,,vuelvo a recordar el peligro de los módulos de terceros por cierto.
Saludos -;)