Con una semana de retraso sobre lo previsto, el equipo de Joomla ha lanzado la versión 1.6.2 del CMS. Habitualmente calificamos estas actualizaciones como de seguridad, pero el número de agujeros de seguridad que subsana es tal que en esta ocasión la calificaremos como actualización crítica de seguridad, y recomendamos una actualización URGENTE e INMEDIATA.
Nada menos que 8 son las vulnerabilidades detectadas desde el lanzamiento de Joomla 1.6.1 hace poco más de un mes, y cinco de ellas son de severidad moderada. Repetimos: la actualización es urgente.
Agujeros de todos los colores
Los fallos de seguridad reportados son 8 en total, pero los hay de todos los tipos:
- 2 del tipo Information Disclosure, en los que una gestión inadecuada del chequeo de errores del core permitía a usuarios malintencionados obtener información sensible del sistema, que podría ser utilizada para montar un ataque.
- 3 del tipo XSS o Cross-site Scripting, debidos a que los mecanismos de filtrado y saneamiento del código eran inadecuados, y abrían la puerta a inyección de código externo (con la posibilidad de realizar un XSS).
- 1 del tipo Acceso no autorizado, en el que debido a una incorrecta gestión de los permisos un atacante podría saltarse el ACL y obtener pivilegios de usuario indebidos (con lo que esto supone).
- 1 del tipo Inyección SQL, originado de nuevo por un mal filtrado de los caracteres de entrada.
- 1 del tipo Clickjacking, debido a unos sistemas de protección insuficientes.
Más de 100 bugs y pequeñas mejoras
Además de solventar las vulnerabilidades arriba mencionadas, la nueva versión introduce nada menos que 115 soluciones a bugs y pequeñas mejoras.
Entre ellas cabe destacar por ejemplo la inclusión de un código optimizado en el archivo htaccess.txt que permite mejorar el rendimiento de mod_rewrite sensiblemente, y que ya fue incluido en la versión 1.5.23 lanzada a primeros de mes.
También es digna de mención la reparación de un bug bastante insidioso del que más de un usuario se había quejado ya en los foros oficiales de Joomla.org, y que impedía que los artículos marcados como destacados o featured aparecieran en la página principal tras ser creados, a menos que se editaran y se guardaran de nuevo.
Las comparaciones son odiosas
Mucho se ha hablado (y más que se hablará) sobre si Joomla 1.6 estaba lo suficientemente maduro para ser declarado estable, o sobre si era inseguro. A la vista de la cantidad de vulnerabilidades y bugs solucionados con las dos primeras actualizaciones de la versión estable, es evidente que el sistema presentaba cierta inestabilidad. Pero nadie dijo que «estable» significara «a prueba de bombas».
Echando la vista atrás, podemos comprobar que, si bien el número de vulnerabilidades resueltas en las dos primeras versiones de la rama 1.5.x es menor que en las dos primeras de la 1.6.x (una vulnerabilidad grave frente a 4 leves y 5 moderadas), el número de bugs es similar, y hay que tener en cuenta que el número de usuarios de Joomla 1.6 es muy superior al de Joomla 1.5 en aquellos tiempos.
