esto me llego x la lista de admins del gutl, va y te interesa...
El 2015-12-16 12:15, låzaro escribió:
----- Forwarded message from feedblas...@hcg.sld.cu -----
Date: Tue, 15 Dec 2015 23:01:10 -0500
From: feedblas...@hcg.sld.cu
To: laz...@hcg.sld.cu
Subject: Vulnerabilidad 0-day crítica en Joomla! [Hispasec @unaaldia]
X-Mailer: feedblaster.rb - ruby 2.2.3p173 (2015-08-18 revision 51636)
[x86_64-linux]
Vulnerabilidad 0-day crítica en Joomla!
Se ha anunciado una vulnerabilidad crítica en Joomla! que permite a
atacantes
remotos la ejecución de código arbitrario.
[joomla-logo]
Joomla es un popular gestor de contenidos en código abierto, que cuenta
con una
gran cantidad de plantillas y componentes que un usuario puedo utilizar
para
implementar de manera rápida una aplicación web. Estos componentes son
programados por todo tipo de desarrolladores. Este hecho, unido a su
popularidad, convierten al gestor de contenidos en un objetivo muy
popular para
que los atacantes.
Según se ha confirmado el problema parece que está siendo explotado de
forma
activa en los últimos días. Afecta a las versiones de Joomla desde la
1.5 a las
3.4.5, reside en el filtrado inadecuado de la información del "user
agent" al
guardar los valores de la sesión en la base de datos, lo que podría
permitir la
ejecución de código arbitrario. Se le ha asignado el CVE-2015-8562.
Joomla ha publicado la versión 3.4.6 destinada a solucionar esta
vulnerabilidad
, junto a otras tres de menos gravedad. Las otras tres vulnerabilidades
consisten en un Cross-Site Request Forgery (CSRF) en com_templates (
CVE-2015-8563) y dos escaladas de directorios(CVE-2015-8564y
CVE-2015-8565).
Esta nueva versión también incluye una mejora del sistema de
reasignación de la
contraseña de usuario.
[Banner_audits_1]Un síntoma de la consideración de la gravedad del
problema es
que se han publicado actualizaciones para corregir la vulnerabilidad en
versiones (1.5.x y 2.5.x) fuera del ciclo de soporte. Aunque se
recomienda la
actualización a la versión 3.4.6, en caso de usar alguna de estas
versiones
antiguas, se recomienda la aplicación de las actualizaciones
disponibles desde
https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
Se ha publicado la versión 3.4.6 disponible desde
https://www.joomla.org/announcements/release-news/
5641-joomla-3-4-6-released.html
Más información:
Critical 0-day Remote Command Execution Vulnerability in Joomla
https://blog.sucuri.net/2015/12/
remote-command-execution-vulnerability-in-joomla.html
Joomla! 3.4.6 Released
https://www.joomla.org/announcements/release-news/
5641-joomla-3-4-6-released.html
Security hotfixes for Joomla EOL versions
https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
[20151201] - Core - Remote Code Execution Vulnerability
https://developer.joomla.org/security-centre/
630-20151214-core-remote-code-execution-vulnerability.html
[20151202] - Core - CSRF Hardening
https://developer.joomla.org/security-centre/
633-20151214-core-csrf-hardening.html
[20151204] - Core - Directory Traversal
https://developer.joomla.org/security-centre/
635-20151214-core-directory-traversal-2.html
[20151203] - Core - Directory Traversal
https://developer.joomla.org/security-centre/
634-20151214-core-directory-traversal.html
Antonio Ropero
anton...@hispasec.com
Twitter:
@aropero
*
----- End forwarded message -----
--
Ing. Jorge Ernesto Fernández de la Torre
Administrador de Red
Dirección Provincial de Educación - Camagüey
Teléfono: 201909
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
