Nueva actualización de seguridad de Joomla!

Fecha de publicación: 
06/07/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Versiones de Joomla! 1.7.3 hasta la 3.7.2.
  • Versiones de Joomla! 1.5.0 hasta la 3.6.5.
Descripción: 

Se ha publicado una actualización de seguridad para el gestor de contenidos web: Joomla! que soluciona varias vulnerabilidades.

Solución: 

Si en tu servidor tienes instalada cualquier versión de las citadas anteriormente, te recomendamos actualizar urgentemente a la versión de Joomla! 3.7.3, que puedes descargar en la web de Joomla!.

Si tu web es mantenida por un proveedor externo, remítele esta información para poder aplicar la actualización siguiendo los pasos adecuados.

Los pasos de actualización de Joomla! son los siguientes:

Para poder actualizar el portal Joomla! de la empresa, es necesario acceder a la consola de administración, por lo general accediendo a la ruta http://MIDOMINIO/"alias_backend"(generalmente "administrator"):

Joomla!: Pantalla acceso consola de administración

 

Nada más entrar nos aparecerá una aviso de que existe una nueva versión de Joomla!, en dos lugares diferentes de la pantalla. En este caso se trata de la versión 3.7.3:

Joomla!: Panel de control: Aviso de notificación de nueva versión disponible

 

Pulsaremos sobre el botón "Actualizar Ahora" de la parte superior y nos aparecerá una segunda pantalla, donde sólo tendremos que pulsar en el botón "Instalar la actualización", el resto del texto es sólo informativo:

Joomla!: Actualización de Joomla!: Pulsar botón instalar actualización

 

Comenzará la instalación y al terminar, sin tener nosotros que hacer nada, nos aparecerá un mensaje indicando que "Su sitio ha sido actualizado correctamente". No tendremos que hacer nada más.

Joomla!: Actualización de Joomla!: Notificación de finalización de actualización

 

Importante: Antes de hacer este tipo de acciones en entornos de producción es importante hacer pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente trás la actualización.

Detalle: 

La actualización, además de corregir diversos problemas en el funcionamiento del gestor de contenidos, soluciona diferentes vulnerabilidades:

  • Dos vulnerabilidades de tipo XSS (del inglés cross-site scripting): mediante la cual un atacante podría dirigir a nuestros usuarios a una página diseñada para ejecutar código malicioso en su navegador.
  • Una vulnerabilidad que permitiría la divulgación de información recogida en los formularios.

Tu soporte tencológico puede consultar una solución más técnica el área de avisos del CERTSI.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este Checklist  para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en esto casos reales: