Joomla 2.5.4 - Actualización de seguridad con algunas novedades

Escrito por Isidro Baquero.

Joomla 2.5.4 - Versión de seguridadTal y como estaba previsto, hoy lunes 2 de abril acaba de ver la luz la versión 2.5.4 de Joomla!. Se trata de una versión cuyo principal objetivo era el de mejorar la estabilidad de la plataforma, pero entre los fallos que resuelve se encuentran dos problemas de seguridad de prioridad baja.

Se recomienda actualizar tan pronto como sea posible, aunque dada la gran cantidad de bugs que resuelven y la adición de 3 nuevas características, se recomienda más que en otras ocasiones hacer pruebas antes de actualizar y, sobre todo, tener una copia de seguridad completa del sitio (archivos y base de datos) antes de proceder con ella.

Dos fallos de seguridad de bajo impacto

Esta cuarta entrega de la versión 2.5 llega también con la vitola de ser una actualización de seguridad. Los fallos corregidos son:

Recordemos que los fallos de seguridad no son simples "bugs" que producen un comportamiento erróneo o indeseado: son fallos de programación que pueden permitir o facilitar que un usuario malintencionado tome el control de nuestro sitio de alguna manera. En la versión 2.5.3, los fallos resueltos eran de tal calibre que permitían ganar el control del sitio con relativa facilidad, de ahí que fueran catalogados como de alta prioridad, o incluso críticos. Los que corrige la actual 2.5.4 facilitan que pueda armarse un ataque contra un sitio, pero por sí mismos no permiten tomar el control del mismo, de ahí su calificación como "de baja prioridad".

Repetimos: se recomienda actualizar a la mayor brevedad, aunque en este caso puede decirse que los sitios no están expuestos a un ataque inminente, por lo que puede planificarse la actualización con algo más de calma.

Tres nuevas funcionalidades

Mostrar la versión en la metaetiqueta "generator"

Se trata de una novedad que llega con algo de polémica, así que trataremos de explicar un poco su adición al CMS. Los que usen Wordpress en conjunción con las Webmaster Tools de Google sabrán que, cuando aparece una nueva versión de WP, Google les avisa de ello a través de sus herramientas. Pues bien, la intención de esta mejora es que dichas herramientas hagan lo mismo con los sitios Joomla.

La polémica viene de que hay quienes argumentan que mostrar exactamente la versión usada a cualquiera no hace sino facilitar a posibles atacantes una información muy valiosa. De hecho, ya hay muchos que directamente ocultan esta metaetiqueta en sus sitios. Ante esto, muchos otros responderán que la seguridad por ocultación no es verdadera seguridad, sino más bien "sensación de seguridad". Es decir, el problema no es que Joomla! muestre a cualquiera que estás usando una versión desactualizada; el problema es que ESTÁS USANDO una versión desactualizada.

Sea como sea, debéis tener cuidado, porque esta nueva característica viene activada por defecto, y si no queréis mostrar al mundo la versión de Joomla que usáis tendréis que ir a la Configuración Global de vuestro sitio y, en la pestaña Sitio, desactivarla (es normal que si accedéis antes de actualizar el paquete de idioma, veáis una etiqueta "extraña" toda en mayúsculas)

ACL para los idiomas del contenido

A pesar de ser una funcionalidad del core, la sección de Idiomas de contenido de Joomla 2.5 no permitía disfrutar del ACL del core, por lo que no era posible configurar quién tenía acceso a los contenidos asignados a los distintos idiomas del sitio. Pues bien, a partir de Joomla 2.5.4 esto ya es cosa del pasado, y ahora se puede configurar individualmemnte el acceso a dichos contenidos en el frontend, permitiéndonos por ejemplo limitar el acceso a un nuevo idioma que añadamos al sitio mientras vamos creando los contenidos.

Instalador mejorado para evitar problemas en hostings "rarunos"

Una de las principales fuentes de problemas con la rama 1.6/1.7/2.5 ha sido el instalador/actualizador automático. Es frecuente encontrar algún mensaje sobre problemas de este tipo todas las semanas en los foros de joomla.org, y en la inmensa mayoría de los casos, el problema estaba relacionado con una configuración "peculiar" del servidor.

Gracias a Nicholas Dionysopoulos, el desarrollador de Akeeba, se ha mejorado el instalador del core, de modo que su respuesta ante este tipo de servidores es mucho mejor ahora.

Más de 150 bugs resueltos

A primeros de marzo se celebró una nueva edición del evento "Pizza, bugs & fun", en el que la comunidad Joomla se reúne en distintas sedes alrededor del mundo interconectadas a través de internet para atacar a los bugs identificados en el tracker de Joomla, tratando de solucionar tantos como sea posible, así como identificar alguno nuevo o probar parches.

El evento dio sus frutos, y si no se han visto antes es porque la detección de errores de seguridad importantes hizo aconsejable dejar algo más de tiempo entre versiones. De este modo, la versión que hoy ve la luz es la primera que realmente se centra en mejorar la estabilidad de la plataforma, corrigiendo la friolera de 157 pequeños fallos de todos los colores.

Para el que quiera curiosear un poco, la lista completa está en el enlace que dejamos a continuación.

Anuncio oficial en joomla.org

Sobre el autor
Isidro Baquero
Author: Isidro Baquero

Desde 2008 ha trabajado como freelance, fundamentalmente desarrollando sitios web basados en Joomla, aunque también como webmaster, gestor de comunidades o traductor del inglés al español de aplicaciones de software. Actualmente forma parte del equipo de SobiPro en Sigsiu.NET, donde desempeña labores de soporte, documentación, pruebas de software y traducción al español.

::- Contactar -::


Comentarios  

 
0 #1 Breseda 03-04-2012 05:48
interesante, que bueno que se pudo resolver con la actualización pues para los desarrolladores era un poco desgastante el corregirlos a mano.
exelente!
Citar
 
 
0 #2 Joomla Valencia 17-05-2012 16:56
Ojala sea cierto que se ha mejorado el instalador del core.
Citar
 

Escribir un comentario

REGLAS APLICABLES A LOS MENSAJES
  • Los comentarios serán publicados una vez que hayan sido comprobados y aprobados por un administrador del sitio.
  • No están permitidos comentarios injuriosos o amenazadores.
  • No está permitido hacer spam.
  • Los enlaces que no vayan a sitios oficiales Joomla! o que no estén relacionados con el mensaje serán editados.