• Acctexp <= 0.12.x
• JooBB 0.5.9
• Mycontent 1.1.13
• Biblestudy 1.5.0 (id)
• Prayercenter <= 1.4.9 (id)
• Artist (idgalery)
• Xsstream-dm 0.01b
• Datsogallery 1.6
• Webhosting (catid)

Para mas información sobre extensiones vulnerables pueden revisar los sitios de seguridad informática; milw0rm y SecurityFocus. Próximamente, anunciare un proyecto que permitirá a los desarrolladores/diseñadores Joomla! estar mas actualizados sobre las nuevas vulnerabilidades.

• Joomla Showroom Joomlearn LMS - Tipo: Inyección SQL
• Elearningforce Online FlashQuiz 1.0.2 - Tipo: Inclusión Remota
• Netvistun Ahsshop 1.51 - Tipo: Inyección SQL
• Restaurante - Tipo: Inyección SQL
• Alberghi - Tipo: Inyección SQL
• Joovideo - Tipo: Inyección SQL
• MyAlbum - Tipo: Inyección SQL
• Cinema - Tipo: Inyección SQL
• Rekry - Tipo: Inyección SQL
• Custompages - Tipo: Inclusión remota de archivos
• Acajoom - Tipo: Inyección SQL
• ProductShowcase - Tipo: Inyección SQL
• Download 3000 - Tipo: Inyección SQL

Comunidad Joomla! 1.0.15 [Evolución] [Español]
Md5: a90490902164826b868b46981f78e83a

Parche 1.0.14 a 1.0.15 Comunidad Joomla!
Md5: 074adb49c7f12acf2b74e768a9006573

Agregados y mejoras que se incorporan con este nuevo pack.

— 1.0.15 Comunidad Joomla! Evolución —

22-Febrero-2008 - Gustavo Raúl Aragón
* [Gravedad Alta] Actualización de seguridad. Ataque del tipo RFI (Inclusión Remota de Archivos).
# Reemplazar el feed del sample de Comunidad Joomla!.
# Estilo CSS del módulo menu por defecto incorrecto.
# Error de sintaxis en el sample sql.
+ Agregado feed del Portal y el blog de Comunidad Joomla!.
+ Agregado enlaces: Portal, Foro, Wiki, Blog.
+ Agregado archivo en español phpmailer.lang-es.php

— 1.0.14 Comunidad Joomla! Evolución —

22-Febrero-2008 - Gustavo Raúl Aragón
# Falta traducir “A blog of all section with no images”

21-Febrero-2008 - Gustavo Raúl Aragón
+ Agregado archivo CAMBIOS.php
# Falta traducir la constante _MORE del archivo de idiomas.
# Opción “Predeterminado” en el Administrador de plantillas.
# Mayusculas en link “Previsualizar”.
# Pequeña falta de traducción en pestaña Contenidos.
# Error en el tipeo “medidas de seguridad”.

Recuerden que si encuentran en el paquete; errores de tipeo, ortográficos, o de concepto, pueden ayudarnos a depurarlos enviando un ticket mediante nuestro Bug Tracker.

- Seguridad [Riesgo Bajo] Solucionado bug del tipo XSS en el componente com_search.
- Seguridad [Riesgo Bajo] Solucionado bug del tipo XSS en pagina de resultados de búsqueda.
- Seguridad [Riesgo Bajo] Solucionado errores en el componente com_content.
- Seguridad [Riesgo Alto] Solucionado bug del tipo CSRF.

Nota: Los parches de 1.0.14 RC1 solo llegan hasta la versión 1.0.12. Por lo cual si usted tiene una versión mas antigua, primero actualice a Joomla 1.0.13 y luego a 1.0.14 RC1.

Nota2: Esperamos tener el pack Joomla! Spanish 1.0.14 RC1 lo antes posible. Noticia completa, en foro y portada de Joomla! Spanish.

Crédito: Armando Romeo aka Zinho
Tipo de vulnerabilidad: CSRF (Cross-site request forgery)
Remoto: Si
Riego: Alto
Versiones Afectadas: Toda la Rama 1.0.X, Rama 1.5 hasta la RC3
Parches: Rama 1.0.X, en desarrollo (Posible salida de Joomla 1.0.14), Rama 1.5, actualizar a Joomla 1.5 RC4.

¿En que consiste el CSRF? Básicamente se trata de una técnica de intrusión también conocida como “one click attack”. Por lo que un atacante puede, mediante la inclusión de un script malicioso, (ya sea en una página web, en un correo, o en la firma de un foro, etc.) hacerse con nuestro SESSIONID.

En resumen, ¿en qué afecta esto a Joomla!? Supongamos que nos encontramos navegando por la red con nuestro administrador de Joomla! abierto y caemos en un sitio malicioso, el atacante podrá hacerse con nuestro actual SESSIONID , lo cual, le permitirá loguearse sin mayores problemas como administrador de nuestro portal. Viéndolo desde una óptica más didáctica podríamos decir que nosotros somos el pez y el atacante es el paciente pescador, si el pez (Nosotros) toma los recaudos necesarios, difícilmente caiga en el anzuelo del pescador (Atacante). En caso contrario, seremos servidos como un rico plato de entrada.

Algunas medidas a tener en cuenta:

• Cuando termine de trabajar con el administrador de Joomla! por favor cierre sesión [LOGOUT]
• No ingrese a sitios desconocidos, foros. etc. logeado como administrador.
• Es recomendable no utilizar el mismo navegador, tenga uno solo para todo lo relacionado con la administración y otro de uso general.
• No guarde las cookies del administrador.
• Para Mozilla Firefox: Editar -> Preferencias: Datos privados [Tildar: Siempre borrar mis datos privados cuando cierre Firefox] -> Opciones: [Tildar] Cookies.

El autor del componente recomienda que los que estén usando versiones anteriores a la 2.1.2. Descarguen la ultima versión y actualicen. Preguntas frecuentes sobre como actualizar el componente. . Para lo que ya están usando la versión 2.1.2, las opciones son dos:

1. Bajar el parche y con ellos remplazar los archivos del directorio /components/com_puarcade
2. Mantenerse actualizado vía el svn del proyecto. Por lo cual siempre se estará al día en cuanto actualizaciones y correcciones en el código.

Irán prohíbe el acceso a Google y al correo electrónico Gmail: Desde el lunes por la mañana, los sitios de Google, Gmail y otras páginas de Internet iraníes e internacionales están prohibidas para los internautas de la república islámica. | 21 de septiembre de 2007.