[Actualización 1/10 10:00 hs.: Poco después del lanzamiento de la versión 3.3.5 Joomla encontró nuevos errores y advirtió a sus usuarios que esperaran a la versión siguiente para actualizar sus sistemas. Actualmente ya se encuentra disponible Joomla 3.3.6, que adicionalmente soluciona dos inconvenientes: el reseteo de contraseñas que no funcionaba en Joomla 3.3.5 (#4403), y un error al añadir tags (etiquetas) utilizando un teclado (#4394)].
La plataforma de gestión de contenidos Joomla ha lanzado una nueva versión de su software que soluciona dos importantes problemas de seguridad: una vulnerabilidad Remote File Include (RFI) y otra que permitía la ejecución de ataques de denegación de servicio (DoS). Es importante, entonces, que se instale la versión 3.3.5 inmediatamente.
Junto a esta actualización se lanzó la 3.2.6, para quienes todavía utilizan Joomla 3.2. Versiones anteriores deberán acceder a esta antes de a la más nueva (3.3.5). Ahora bien, ¿qué soluciona esta actualización?
Se han encontrado 9 bugs, y se solucionan dos importantes fallas:
- RFI (prioridad alta): una vulnerabilidad de este tipo permite a alguien sin permisos subir un archivo a un servidor de manera remota y ejecutarlo. Por ejemplo, un archivo PHP para hacer chequeos, o un ejecutable malicioso, que le daría al atacante acceso remoto al servidor. Es importante remarcar que sólo por tener instalada una versión vulnerable de Joomla el usuario no será necesariamente víctima de esta falla: el atacante debe actuar precisamente en el momento en que se está realizando un backup de los archivos o mientras se está extrayendo un paquete de actualización de Joomla. Los detalles técnicos se encuentran en el blog de Akeeba.
- DoS (prioridad media): debido comprobaciones inadecuadas, existía en versiones anteriores la posibilidad de que un atacante ejecutara un ataque de este tipo. Se basa en el envío de peticiones ilegítimas al servidor, para disminuir o imposibilitar su capacidad de respuesta a aquellas de usuarios legítimos, provocando la eventual saturación y caída del servicio.
Remarcamos la importancia de descargar la última versión de Joomla para evitar estas vulnerabilidades y, de esta forma, disminuir las posibilidades de ser víctimas de ataques como los anteriormente mencionados.