Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/08/2014
Vulnerabilitat en WordPress i Drupal
Descobrixen vulnerabilitats importants en WordPress i Drupal que deixarien offline moltes webs.Si tens un lloc web executant una instal·lació d’autoorganitzada de WordPress o Drupal, quan veges la notificació d’actualització del programari has de fer-la.
Nir Goldshlager, un investigador de seguretat de l’equip de seguretat de producte de Salesforce.com, ha descobert una vulnerabilitat en XML que impacta de forma directa en les populars plataformes de llocs web de WordPress i Drupal.
La vulnerabilitat utilitza un conegut XML -Quadratic Blowup Attack-. Quan s’executa, pot acabar amb un lloc web sencer o un servidor quasi a l’instant. Això és gros, perquè WordPress i Drupal són utilitzats per milions de llocs web, cosa que significa que un atac massiu deixaria offline molts llocs web.
Quan s’explota la vulnerabilitat, els resultats, bàsicament, poden fer inutilitzable un lloc web o servidor web. La vulnerabilitat pot arribar al 100% de la CPU i a l'ús de memòria RAM, fer que el servidor deixe d’estar disponible i també crear un atac de denegació de servici en el programa de base de dades MySQL. En altres paraules, el servidor web i la web poden arribar a ser totalment inaccessibles.
Sistemes Afectats:
La vulnerabilitat XML descoberta per Goldshlager afecta les versions de WordPress 3.5 a 3.9 (la versió actual) i treballa en la instal·lació per defecte. Afecta les versions 6.x de Drupal a 7.x (l’última versió) i també treballa en la instal·lació per defecte.
Referències:
None
Solució:La bona notícia és que WordPress i Drupal han llançat pegats per a les seues aplicacions. Els usuaris i els servidors d’Internet només han d’actualitzar-se a la versió més recent per a protegir contra la vulnerabilitat.
Notes: