JOOMLA
Joomla es uno de los gestores de contenido (CMS) más populares en Internet, al mismo nivel del omnipotente WordPress, empleado por importantes portales y empresas de medio mundo, como la mismísima eBay o Peugeot. Sin embargo, hoy hemos conocido que esta extendida plataforma ha sufrido una importante vulnerabilidad que compromete la seguridad de todos los sites creados con Joomla.
En concreto, se trata de un fallo que ha sido ya aprovechado de forma masiva por los hackers durante los últimos dos días. El error se encuentra en la cadena de agente de usuario, que regula la información transmitida desde un servidor web cuando un usuario visita el site que aloja. Esta cadena incluye determinada información esencial, como el tipo y versión del navegador o el sistema operativo del PC, permitiendo así que la página se muestre de manera correcta y se adapte a distintos formatos, resoluciones o dispositivos (como las diferentes webs de escritorio o móvil).
Esos valores de sesión quedan almacenados en una base de datos del servidor, que filtra previamente los datos para evitar información no deseada. Sin embargo,este filtrado presenta un fallo grave que permite la ejecución remota de código.Ello significa que los hackers pueden plantar determinadas líneas de código en la web que infecten a todos los usuarios que visiten esa web o redirigirlos hacia otros sites donde alberguen sus ejecutables maliciosos.
La vulnerabilidad afecta a la práctica totalidad de las versiones de Joomla, desde la 1.5 a 3.4.5, por lo que es clave la actualización urgente de todos los CMS a la última edición (3.4.6, disponible en este enlace) para evitar así estar expuesto a este tipo de vulnerabilidades. Recordemos que Joomla 1.5 fue lanzado hace ya ocho años, con lo que el espacio de tiempo en el que los sitios web han estado desprotegidos ha sido muy considerable.
Acerca de Joomla!
Joomla! es un sistema de gestión de contenido premiado de (CMS), que le permite construir sitios Web y aplicaciones en línea de gran alcance. Muchos aspectos, incluyendo su facilidad de uso y extensibilidad, Joomla han hecho! el más popular software del sitio Web disponible. Lo mejor de todo, Joomla es una solución de código abierto que está disponible gratuitamente para todo el mundo.
¿Qué es un sistema de gestión de contenidos (CMS)?
Un sistema de gestión de contenidos es un software que realiza un seguimiento de cada pieza de contenido en su sitio web, al igual que su biblioteca pública local mantiene un registro de los libros y las almacena. El contenido puede ser texto simple, fotos, música, vídeos, documentos, o cualquier cosa que se pueda imaginar. Una ventaja importante de usar un CMS es que prácticamente no requiere habilidad técnica o conocimiento de manejar. Desde la CMS administra todo el contenido, usted no tiene que hacerlo.
¿Cuáles son algunos ejemplos del mundo real de lo que Joomla! ¿puede hacer?
Joomla es utilizado en todo el mundo a los sitios Web de potencia de todas las formas y tamaños. Por ejemplo:
Los sitios web o portales corporativos
intranets y extranets corporativas
En línea revistas, periódicos y publicaciones
El comercio electrónico y reservas en línea
aplicaciones de gobierno
Los sitios web de pequeñas empresas
Los sitios web de la organización sin ánimo de lucro y
portales basados en la comunidad
Los sitios web de la escuela y la iglesia
páginas personales o familiares
¿Quién utiliza Joomla?
Éstos son sólo algunos ejemplos de sitios web que utilizan Joomla:
Salón Sukni ślubnych (Moda Nupcial - polaco) - http://www.mlodaimoda.pl/
La Universidad de Harvard (Educación) - http://gsas.harvard.edu
Citibank (intranet de la institución financiera) - No es accesible al público
La Folie Douce - http://www.lafoliedouce.com/
FunX (Radiostation - Países Bajos) - http://www.funx.nl/
El fotógrafo al aire libre (Magazine) - http://www.outdoorphotographer.com
PlayShakespeare.com (Cultural) - http://www.playshakespeare.com
Vino barato Band (Música - alemán) - http://www.cheapwineband.de/
Más ejemplos de empresas que utilizan Joomla se pueden encontrar en el sitio del escaparate Joomla Comunidad.
Necesito construir un sitio para un cliente. ¿Cómo va a Joomla! ¿ayuadame?
Joomla está diseñado para ser fácil de instalar y configurar, incluso si no eres un usuario avanzado. Muchos servicios de alojamiento web ofrecen un solo clic en instalar, conseguir su nuevo sitio en funcionamiento en tan sólo unos minutos.
Desde Joomla es tan fácil de usar, como un diseñador web o programador, puede crear rápidamente sitios para sus clientes. Luego, con una cantidad mínima de instrucciones, puede potenciar a sus clientes a manejar fácilmente sus propios sitios sí mismos.
Si sus clientes necesitan una funcionalidad especializada, Joomla es altamente extensible y miles de extensiones (más de forma gratuita bajo la licencia GPL) están disponibles en el Directorio de Extensiones de Joomla.
¿Cómo puedo estar seguro de que habrá Joomla! apoyo en el futuro?
Ganador - Mejor CMS
Joomla es el más popular CMS de código abierto disponibles en la actualidad como lo demuestra una comunidad vibrante y creciente de usuarios de amistad y desarrolladores con talento. Las raíces de Joomla se remontan a 2000 y, con más de 200.000 usuarios de la comunidad y colaboradores, el futuro parece brillante para el premiado proyecto Joomla.
Soy un desarrollador. ¿Cuáles son algunas formas avanzadas que puedo usar Joomla?
Muchas empresas y organizaciones tienen necesidades que van más allá de lo que está disponible en el paquete básico de Joomla. En esos casos, potente framework de aplicaciones de Joomla hace que sea fácil para los desarrolladores crear sofisticadas extensiones que amplían la capacidad de Joomla en direcciones prácticamente ilimitadas.
El marco básico de Joomla permite a los desarrolladores construir rápida y fácilmente:
sistemas de control de inventario
herramientas de presentación de datos
puentes de aplicaciones
catálogos de productos de encargo
sistemas de comercio electrónico integradas
directorios de empresas complejas
sistemas de reserva
Herramientas de comunicación
Desde Joomla se basa en PHP y MySQL, está la construcción de potentes aplicaciones en una plataforma abierta que cualquiera puede usar, compartir y apoyo. Para obtener más información sobre el aprovechamiento del marco de Joomla, visite la red de desarrolladores de Joomla.
Joomla! parece la solución más adecuada para mí. ¿Cómo puedo empezar?
Descargar o prueba de manejo
Joomla es libre, abierto y disponible para cualquier persona bajo la licencia GPL. Lea Introducción a Joomla para descubrir los conceptos básicos. Si usted está listo para instalar Joomla, descarga la versión más reciente aquí se le marcha y funcionando en poco tiempo.
Si no te gusta de instalar usted mismo hay otras dos formas sencillas de empezar a trabajar con Joomla:
sitio web gratuito en Joomla.com
Esta es la forma más fácil de iniciar su primer sitio web Joomla inmediatamente. Puede lanzar un sitio web totalmente libre en cuestión de segundos y comenzar a publicar su contenido en línea inmediatamente.
Probar el servicio Joomla.com ahora
página web Joomla auto-organizada
También puede iniciar un sitio web Joomla en una cuenta de alojamiento web. La mayoría de servidores proporcionan un Joomla auto instalador o se puede descargar e instalar Joomla usted mismo. En un sitio web alojado en sí mismo Joomla puede extender las funcionalidades básicas de Joomla con las extensiones de terceros y plantillas y construido cualquier cosa, desde una simple página web a un sistema complejo. Puede probar la experiencia de auto-organizada Joomla a través de la demo gratuita de 90 días de Joomla.
Pruebe con un Joomla auto-organizada ahora
¡Cómo saber si hemos sido atacados'
Para saber si una determinada web se ha podido ver comprometida, el webmaster puede comprobar en el registro de su página las direcciones IP 146.0.72.83, 74.3.170.33 o 194.28.174.106. Según informa el blog de seguridad Sucuri, también deben buscarse anomalías en los eventos que usan el proceso “JDatabaseDriverMysqli” y “O” en el agente de usuario. Los sistemas que den positivo para cualquiera de las cadenas deben presumirse como comprometidos y se someterse a un análisis a fondo.
Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para que los atacantes.
Según se ha confirmado el problema parece que está siendo explotado de forma activa en los últimos días. Afecta a las versiones de Joomla desde la 1.5 a las 3.4.5, reside en el filtrado inadecuado de la información del "user agent" al guardar los valores de la sesión en la base de datos, lo que podría permitir la ejecución de código arbitrario. Se le ha asignado el CVE-2015-8562.
Joomla ha publicado la versión 3.4.6 destinada a solucionar esta vulnerabilidad, junto a otras tres de menos gravedad. Las otras tres vulnerabilidades consisten en un Cross-Site Request Forgery (CSRF) en com_templates (CVE-2015-8563) y dos escaladas de directorios (CVE-2015-8564 y CVE-2015-8565). Esta nueva versión también incluye una mejora del sistema de reasignación de la contraseña de usuario.
Un síntoma de la consideración de la gravedad del problema es que se han publicado actualizaciones para corregir la vulnerabilidad en versiones (1.5.x y 2.5.x) fuera del ciclo de soporte. Aunque se recomienda la actualización a la versión 3.4.6, en caso de usar alguna de estas versiones antiguas, se recomienda la aplicación de las actualizaciones disponibles .
No hay comentarios:
Publicar un comentario