Actualización crítica de seguridad de Joomla! 3.6.4
Versiones de Joomla! 3.4.4 a la 3.6.3
El gestor de contenidos web: Joomla! ha publicado una actualización de seguridad que soluciona dos vulnerabilidades de carácter grave.
Se recomienda actualizar urgentemente a la versión de Joomla! 3.6.4, disponible en la web de Joomla! Los pasos de actualización de están descritos en su página web.
Si tu web es mantenida por un proveedor externo, remítele esta información para poder aplicar la actualización siguiendo los pasos adecuados.
Instrucciones para la actualización de Joomla!
Para poder actualizar el portal Joomla! de la empresa, es necesario acceder a la consola de administración, por lo general accediendo a la ruta http://MIDOMINIO/Administrator:
Nada más entrar nos aparecerá una aviso de que existe una nueva versión de Joomla!, en dos lugares diferentes de la pantalla. En este caso se trata de la versión 3.4.5:
Pulsaremos sobre el botón "Actualizar Ahora" de la parte superior y nos aparecerá una segunda pantalla, donde sólo tendremos que pulsar en el botón "Instalar la actualización", el resto del texto es sólo informativo:
Comenzará la instalación y al terminar, sin tener nosotros que hacer nada, nos aparecerá un mensaje indicando que "Su sitio ha sido actualizado correctamente". No tendremos que hacer nada más.
Importante: Antes de hacer este tipo de acciones en entornos de producción es importante hacer pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.
Las vulnerabilidades solucionadas en esta actualización de seguridad permitirían a un atacante remoto crear cuentas con privilegios de administración en un portal de Joomla!
La primera vulnerabilidad permitiría a los atacantes crear cuentas, y la segunda, elevar los privilegios de la cuenta de un usuario para obtener permisos de administrador. Pudiendo por tanto acceder al contenido de nuestro portal web, usuarios, así como poder modificar el contenido de la misma o utilizar nuestra web para hacer otras acciones no controlables.
Si tu portal web es mantenido por una empresa externa o por parte del departamento de informatica de tu entidad, podrán obtener más información visitando el aviso de seguridad técnico del CERTSI.
¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o sigue nuestros perfiles de redes sociales en twitter @incibe y facebook: "protegetuempresa". Serás el primero en enterarte de los últimos avisos de seguridad para empresas.