ALERTA DE SEGURANÇA! Se você está usando o Joomla 1.5.x para publicar seu(s) site(s), atualize imediatamente seu CMS para a versão 1.5.6. É um release de segurança para evitar que os maldosos de plantão detonem seu trabalho.

O esquadrão de bugs da comunidade Joomla identificou uma falha de segurança grave em todas as versões 1.5 que deve ser corrigida imediatamente. Trata-se de um vício no mecanismo de validação do token, o qual permite que tokens forjados sejam aceitos. Isto dá a possibilidade a usuários não autorizados e não autenticados alterarem a senha do primeiro usuário habilitado, o da ID mais baixa - tipicamente o usuário admin, o super-administrador.

Alterar o nome deste usuário (digamos de admin para chefe ou cacique) diminui em muito o impacto desta brecha de segurança. Evitar tudo que é valor default é uma prática que deveria ser seguida religiosamente, só que, na maioria das vezes, acaba escapando. Quando deixamos o super-administrador como usuário admin, criado no momento da instalação, entregamos de bandeja 50% da segurança do login para os bandidos e facilitamos a coisa demais da conta

Existem vários procedimentos para corrigir este tropeço:

• Mudar o usuário do super-administrador para qualquer coisa diferente de admin. Quanto mais maluco ou diferente o nome de usuário, melhor.
• Dar uma "hackeada" no arquivo /components/com_user/models/reset.php adicionando o código a seguir. Logo depois de global $mainframe; ao redor da linha 113, insira o seguinte:
  

  if(strlen($token) != 32) {
    $this->setError(JText::_('INVALID_TOKEN'));
    return false;
  }

• Melhor ainda, se sua versão for inferior à versão 1.5.6, faça um backup do Joomla e depois faça a atualização para a versão 1.5.6 ou superior.

Com esta notícia espero ter ajudado a evitar muitos transtornos.

[]s da vó Vicki