Tal como hemos publicado en este blog recientemente, todas las versiones de Joomla anteriores a la 2.5.14 y 3.1.4 SON VULNERABLES y se recomienda la actualización inmediata a las versiones estables.
Esto mismo también ha sucedido con Joomla 1.5.26, versión última estable de la extinta rama 1.5 que dicho sea de paso "ya no tiene soporte oficial" por parte de Joomla.org.
Sin embargo, el Equipo de Producción de Joomla ha liberado un "parche" para aplicar a la versión 1.5.26 (no a versiones anteriores de Joomla 1.5) y con ello corregir la brecha de seguridad descubierta también en esta versión, relacionada con la carga de archivos no autorizados.
Sin lugar a dudas, nuestro primero consejo es que te ACTUALICES a una rama más estable, como Joomla 2.5.x o 3.1.x., pero si no puedes (por la razón que sea) a continuación te explicamos como parchear Joomla 1.5.26.
El parche "oficial" liberadoNO ES INSTALABLE y requiere seguir un sencillo proceso para poder parchear la instalación de Joomla afectada.
- Copia de Seguridad por alguno de los medios ya explicados en este blog. [1], [2], [3].
- Descargar el parche desde el JoomlaCode.
- Acceder al Panel de Hosting, Administrador de Archivos y subir el archivo UploadFix15v3.zip a la carpeta de Joomla 1.5.26
- Extraer el archivo .zip que copiará los archivos media.php y file.php en sus correspondientes carpetas.
- Eliminar el archivo UploadFix15v3.zip subido.
- Verificar que todo funciona correctamente.
Esta tarea también se puede realizar por FTP pero supone extraer primero los archivos en el PC descargado y luego subirlos al Hosting.
Ten en cuenta que este archivo NO es un zip instalable, hay que extraer los archivos zip y subirlos manualmente las carpetas correspondientes:
/libraries/joomla/filesystem/file.php
Como todo en la vida, siempre hay un buen samaritano que busca facilitar la tarea a usuarios, principalmente neófitos, en esto de extraer y subir manualmente archivos, y ha liberado un instalador que simplifica el proceso.
Se trata de Anything Digital, quienes han tenido a bien liberar un instalador simple para que desde el backend de Joomla 1.5.26, Extensiones podamos instalar dicho parche como si de cualquier otra extensión se tratase.
- Copia de Seguridad por alguno de los medios ya explicados en este blog. [1], [2], [3].
- Descargar el parche desde Anything Digital (introducir un email válido).
- Ir a Extensiones, Instalar/Desinstalar.
- Seleccionar el archivo descargado.
- Subir e Instalar.
En el siguiente vídeo explicamos como aplicar el parche instalable liberado por Anything Digital que corrige la citada vulnerabilidad.
Nota: El parche elimina primero los archivos afectados y los sustituye por los archivos parcheados por lo que no es necesario eliminarlos previamente.
En palabras de Alex Smirnov "La protección de nuestros sistemas es nuestra propia responsabilidad, de nadie más, la verdad. Después de todo, el "final de la vida (de Joomal 1.5)" ha llegado y tiene que ser respetado, se agradece cualquier otra cosa que pudiera haber debajo de la manga de la buena gente de Anything Digital. ;)"