[Completado] [Texto: Upgrade immediately to Joomla! 1.0.11] - Foros Joomla! Spanish

gustavo · 29-08-2006, 03:45 AM

Joomla! 1.0.11 [ Sunbird ] is now available as of Monday 28th August 2006 24:00 UTC for download here. and is being designated a Critical Security Release.

All existing Joomla! users MUST UPGRADE to this version, due to several High Level vulnerabilities that affect ALL Previous versions of Joomla!

1.0.11 contains the following critical security fixes:

* 04 High Level Security Fixes
* 04 Medium Level Security Fixes
* 18 Low Level security
* 25 General bug fixes

If you are using ANY previous version of Joomla!, you need to upgrade to 1.0.11 as soon as possible.

* 1.0.11 Download
* 1.0.11 Version Information
* 1.0.11 Changelog
* 1.0.11 Package File MD5 checksums

Project Joomla! is and has always been fully committed to a Security First Principle and new intiatives have and will continue to be started to reinforce and continue this principle. Joomla! 1.0.11 highlights a redoubled effort to put Security at the forefront of everyones lexicon.

Like any and all software, security is a continually evolving and constant battle between application developers and hackers. The increased security threats discovered in the Joomla!Universe indicate nothing more than an increasing usuage of Joomla! throughout the world and thus an increasing interest from hackers.

It does however serve to remind everyone, both application developers and application users that Security is an eternal vigil and one cannot rest.

To that end, it is extremely important that everyone take the time to read all of the information contained in this official Joomla! Press Release for Joomla! 1.0.11

Security Fixes

Joomla! 1.0.11 Contains twenty-six (26) fixes for High, Medium and Low Level Security Vunerabilities.

The majority of these vunerabilities affect all previous versions of Joomla!

Cita:

04 HIGH Level Threats fixed
A1 Unvalidated Input

* Secured mosMail() against unvalidated input
* Secured JosIsValidEmail() - in previous versions the existance of an email address
somewhere in the string was sufficient

A6 Injection Flaws

* Fixed remote execution issue in PEAR.php
* Fixed Zend Hash Del Key Or Index Vulnerability

04 MEDIUM Level Threats fixed
A1 Unvalidated Input

* globals.php not included in administrator/index.php

A2 Broken Access Control

* Added Missing defined( '_VALID_MOS' ) checks
* Limit Admin `Upload Image` from uploading below `/images/stories/` directory
* Fixed do_pdf command bypassing the user authentication

18 LOW Level Threats fixed
A1 Unvalidated Input

* Hardened Admin `User Manager`
* Hardened poll module
* Fixed josSpoofValue function to ensure the hash is a string

A2 Broken Access Control

* Secured com_content to not allow the tasks 'emailform' and 'emailsend'
if $mosConfig_hideEmail is set
* Fixed emailform com_content task bypassing the user authentication
* Limit access to Admin `Popups` functionality

A4 Cross Site Scripting

* Fixed XSS injection issue in Admin `Module Manager`
* Fixed XSS injection issue in Admin `Help`
* Fixed XSS injection issue in Search

A6 Injection Flaws

* Harden loading of globals.php by using require() instead of include_once();
* Block potential misuse of $option variable
* Block against injection issue in Admin `Upload Image`
* Secured against possible injection attacks on ->load()
* Secured against injection attack on content submissions where frontpage
is selected
* Secured against possible injection attack thru mosPageNav constructor
* Secured against possible injection attack thru saveOrder functions
* Add exploit blocking rules to htaccess
* Harden ACL from possible injection attacks

High Level Vulnerabilities

1.0.11 fixes 4 High Level security vulnerabilities that affect all previous versions of Joomla! 1.0.x series.
In fact there is a strong likelihood that most of these vunerabilities (including the Hig h Level ones) will also affect older versions of Mambo as well.

Therefore all Joomla! users are strongly advised to upgrade immediately to Joomla! 1.0.11

In the last few weeks, Joomla! sites have garnered increased attention from the hacking community. This has led to the discovery of several security vunerabilities in the Joomla! 1.0.x core (which have been addressed by this 1.0.11 release) and 3rd Party extensions.

Therefore it is of prime importance that security be at the top of your priorities. To that end you are strongly encouraged to read through the Security Checklist - put together by Security Forum Moderator (rliskey):
http://forum.joomla.org/index.php/topic,81058.0.html
.htaccess

One easy way to block the majority of current exploit attempts is to utilise the .htaccess rules - put together by our Quality & Testing Techincal Lead (RobS):
http://forum.joomla.org/index.php/topic,75376.0.html

These extra .htaccess rules are now part of the Joomla! core as of this 1.0.11 release in the file htaccess.txt .

However if you are upgrading your site, then you will need to manually insert the rules to your .htaccess file yourselves.

This additions to the .htaccess file will help in protecting vulnerable third-party extensions against such attacks.

You are strongly encouraged to implement these into all your existing and future Joomla! sites.
PHP Settings

There are two particular PHP settings which help increase dramatically the security of your site, specially if software contains yet unknown vulnerabilities. As a matter of fact, sites with these settings set correctly have been saved from most last attacks to 3PD extensions.:

* Register Globals
* Magic Quotes

You need to ensure that these two settings are set to:

* Register Globals = `OFF`
* Magic Quotes = `ON`

for your system.

To check the value of these settings, go to the System Info page in your Backend end Adminstrator area (System -> System Info).
Core Settings

There is also one Joomla! Core setting that can pose a potential security threat:

* Register Globals Emulation (RG_Emulation)

Your system is safest when this setting is set to `OFF`.
However, by default Joomla! 1.0.x releases have this setting set to `ON`, as in previous releases. This is because a number of 3rd party extensions are not yet written to work with this setting set to `OFF` and will not function properly. Therefore it has been decided to keep it `ON` by default in Joomla! 1.0.11, to avoid incompatibilities during this highly recommended Joomla! critical core update, and allow you to update safely Joomla! before reviewing your extensions compatibility and setting this parameter to OFF when appropriate for your site.

However, we suggest that you test to see if your site and its extenions will continue to work properly with this setting set to `OFF` as your site will be far more secure when run in this environment.

You can find a discussion thread here about extensions which do not work correctly when this setting is set to `OFF`, and listing updates and ways to fix these extensions so they will work correctly in this environment.

In Joomla! 1.5, `Register Globals Emulation` will be set to `OFF by default`.

To change this setting to `OFF`, you need to edit your globals.php file (found in your sites root directory) and look for the line:

define( 'RG_EMULATION', 1 );

And change the setting to:

define( 'RG_EMULATION', 0 );

kuato · 29-08-2006, 07:42 AM

Joomla! 1.0.11 "Pajaro de fuego" (Sunbird) esta disponible desde el Lunes 28 de Agosto de 2006 a las 24:00 UTC para ser descargado aqui. y esta designado como una version de seguridad ¡critica!.
Todos los usuarios de Joomla! existentes deben actualizar sus sitios a esta version, devido a varias vulnerabilidades de "Alto Nivel" (High Level) que afectan a todas las versiones previas de Joomla!.
Joomla! 1.0.11 contiene las siguientes reparaciones criticas de seguridad.

* 04 Reparaciones de seguridad de Nivel Alto
* 04 Reparaciones de seguridad de Nivel Medio
* 18 De nivel bajo
* 25 Reparaciones generales de bugs

Si esta usando cualquier version previa de Joomla!. necesita actualizar a la version 1.0.11 lo antes posible.

* 1.0.11 Descarga
* 1.0.11 Informacion de la version
* 1.0.11 Agenda de cambios (changelog)
* 1.0.11 Package File MD5 checksums

EL proyecto Joomla! esta y siempre estuvo comprometido con el principio de "Seguridad primero" y nuevas iniciativas continuaran siendo impulzadas para reforzar y perpetuar este principio. Joomla 1.0.11 destaca un esfuerzo redoblado de poner seguridad a la vanguardia en el lexico de todos.
Como en la mayoria del software, la seguridad es una constante y evolutiva batalla entre los desarrolladores de las aplicaciones y los hackers. Las crecientes amenazas descubiertas en el universo Joomla! indican nada mas que un incremento en el uso de Joomla! a travez del mundo y debido a esto, un incremento en el interes de los hackers.
Esto sin embargo, sirve para recordarnos a todos, desarrolladores y usuarios, que la seguridad es una eterna vigilia y uno no puede descansar.
Para tal fin, es extremadamente importante que todos se tomen un tiempo para leer toda la informacion contenida en este Parte de Prensa oficial para Joomla! version 1.0.11.

Reparaciones o arreglos de seguridad

Joomla! 1.0.11 contiene veintiseis (26) reparaciones para vulnerabilidades de nivel Alto, Medio y Bajo.
La mayoria de estas vulnerabilidades afectan a todas las versiones previas de Joomla!.

Cita:
04 Amenazas reparadas de NIVEL ALTO
A1 Entrada invalidada (Invalidated input)

* Asegurado mosMail() en contra de una entrada invalida
* Asegurado JosIsValidEmail() - en versiones previas la existencia de una direccion de email en algun lugar de la sentencia o string era suficiente.

A6 Defectos de Inyeccion (Injection Flaws)

* Reparado asunto de ejecucion remota en PEAR.php
* Reparado Zend Hash Del Key O Index Vulnerability (Vulnerabilidad del Index)

04 Amenazas reparadas de NIVEL MEDIO
A1 Entrada invalidada (Unvalidated Input)

* globals.php no incluido en administrator/index.php

A2 Control de acceoso roto (Broken Access Control)

* Agregados chequeos de defined( '_VALID_MOS' ) que estaban perdidos
* Limitando la funcion de administracion `Subir Imagen` de subir debajo del directorio `/images/stories/`
* Reparado comando do_pdf evitando la identificacion del usuario

18 Amenazas reparadas de NIVEL BAJO
A1 Entrada invalidada (Unvalidated Input)

* Endurecimiento o refuerzo de la funcion `User Manager` `Administracion de Usuarios' en la zona de administracion.
* ENdurecimiento o refuerzo del modulo de encuesta
* Reparada la funcion josSpoofValue para asegurarse de que el hash es una string.

A2 Acceso de control roto (Broken Access Control)

* Asegurado com_content para no permitirle a las tareas 'emailform' e 'emailsend'
si $mosConfig_hideEmail esta configurado
* Reparado emailform com_content tarea salteando la autentificacion del usuario
* Acceso limitado a la funcionalidad 'popups' de la administracion.

A4 Codigo cruzado (Cross Site Scripting)

* Reparado asunto de inyeccion (XSS injection) en Admin `Module Manager` 'Administrador de modulos'
* Reparado asunto de inyeccion (XSS injection) en Admin `Help` `Ayuda`
* Reparado asunto de inyeccion (XSS injection) en Buscar.

A6 Amenazas de inyeccion (Injection Flaws)

* Refuerzo en la carga de globals.php usando require() en lugar de include_once();
* Bloqueo de mal uso potencial de la variable $option
* Bloqueo en contra de una cuestio de inyeccion en Admin `Upload Image` `Subir Imagen`
* Asegurado en contra de posibles ataques de inyeccion sobre ->load()
* Asegurado en contra de ataque de inyeccion sobre envios de contenido en donde el frontpag o portada es seleccionado.
* Asegurado en contra de posible ataque de inyeccion a travez de constructor mosPageNav
* Asegurado en contra de posible ataque de inyeccion a travez de funciones saveOrder
* Añadidas reglas anti exploits en el htaccess
* Endurecimiento o refuerzo de ACL en contra de posibles ataques de inyeccion

Vulverabilidades de NIVEL ALTO (High Level Vulnerabilities)

1.0.11 corrige 4 vulnerabilidades de seguridad de NIVEL ALTO que afectan a todas las versiones previas de la serie Joomla! 1.0.x .
De echo es muy probable que la mayoria de estas vulnerabilidades (incluidas las de NIVEL ALTO) tambien afecten a versiones antiguas de Mambo.
Por lo tanto recomendamos insistentemente a todos los usuarios de Joomla! a que actualicen inmediatamente a Joomla! 1.0.11

En las ultimas semanas, los sitios Joomla! generaron un incremento en la atencion de la comunidad hacker. Esto ha conducido al descubrimiento de varias vulnerabilidades de seguridad en el core de Joomla! 1.0.x (que han sido corregidas en por la version 1.0.11) y en extensiones de 3eros (3rd Party extensions).

Por lo tanto es de primaria importancia que la seguridad este en lo mas altos de sus prioridades. Para tal fin los animamos efusivamente a que lean por la Lista de comprobacion de seguridad (Security Checklist) - armada por el moderador del foro de seguridad (rliskey):
http://forum.joomla.org/index.php/topic,81058.0.html

.htaccess

Una forma facil de bloquear la mayoria de los intentos de hacking que se usan actualmente es utilizando las reglas .httaccess de la lista armada por nuestro Tecnico lider de Calidad y Testeo (RobS):
http://forum.joomla.org/index.php/topic,75376.0.html

Estas reglas .htaccess extras ahora son partes basicas de Joomla! en la version 1.0.11 dentro del archivo htaccess.txt .

Si embargo si esta actualizando su sito, entonces necesitara insertar manualmente las reglas a su archivo .htaccess .

Estas adiciones al archivo .htaccess ayudaran a proteger a las extensiones de 3eros que sean vulnerables de los ataques en su contra.

Se recomienda enfaticamente que implementen esto en sus sitios actuales de Joomla! y en sus sitios futuros.

PHP Settings

Exiten dos opciones PHP en particular que pueden ayudar a incrementar dramaticamente la seguridad de su sitio, especialmente en contra de vulnerabilidades desconocidas ahun. En realidad, sitios conestas opciones configuradas correctamente han estado a salvo de la mayoria de los ultimos ataques a extensiones de 3eros.:

* Register Globals
* Magic Quotes

Necesita asegurarse de que estas dos opciones esten configuradas en:

* Register Globals = `OFF`
* Magic Quotes = `ON`

para su sistema.

Para revizar el valor de estas opciones, vaya a la pagina de informacion de sistema en su trastienda (zona de administracion) (System -> System Info) "esp (Sistema -> Informacion del sistema)"

Core Settings (Opciones basicas)

Tambien existe una opcion base (core) de Joomla! que puede provocar una amenaza potencial de seguridad:

* Register Globals Emulation (RG_Emulation)

Su sistema esta seguro cuando esta opcion esta configurada en `OFF`.
Sin embargo, por defecto las versiones Joomla! 1.0.x tienen esta opcion configurada en `ON`, asi tambien como en versiones previas. Esto es asi a causa de que un numero de extensiones de 3eros todavia no estan escritas para trabajar con esta opcion configurada en `OFF` y no funcionarian correctamente. Por lo tanto se ha decidido mantener esta opcion en `ON` por defecto en Joomla! 1.0.11, para evitar incompatibilidades durante esta altamente recomendable actualizacion critica del core de Joomla!, permitiendole actualizar Joomla! sin peligro antes de repasar la compatibilidad de sus extensiones y setear este parametro en OFF cuando sea apropiado para su sitio.
Sin embargo, le sugerimos que pruebe para ver si su sitio y sus extensiones continuaran trabajando correctamente con este parametro configurado en `OFF` puesto que su sitio estara mucho mas seguro cuando corra en este ambiente.
Puede encontrar un hilo de discusion aqui sobre extensiones que no funcionan correctamente cuando este parametro esta configurado en `OFF`, y listados de actualizaciones y formas de reparar estas extensiones para que puedan funcionar correctamente en este medio.
En Joomla! 1.5, `Register Globals Emulation` estara configurado en `OFF por defecto`.
Para cambiar este parametro a `OFF`, necesitara editar su archivo globals.php (que se encuentra en el directorio raiz o root de su sitios) y buscar la linea:

define( 'RG_EMULATION', 1 );

And change the setting to:

define( 'RG_EMULATION', 0 );