Медиановости /
Интернет, Конфликты

7 августа 2014 13:42

Уязвимость Wordpress и Drupal позволила отключить 23% сайтов в мире

Уязвимость Wordpress и Drupal позволила отключить 23% сайтов в мире
 
В платформах для блогов и сайтов WordPress и Drupal обнаружили уязвимость, позволяющую устроить атаку на любой сайт и сделать его недоступным практически мгновенно. Об этом сообщил исследователь безопасности в компании Salesforce.com и гендиректор Break Security Нир Голдшлейгер (Nir Goldschlager). 
 
Уязвимость, известная как XML Quadratic Blowup Attack, позволяет практически мгновенно вывести из строя сайт или сервер DOS-атакой. По данным Голдшлейгера, затронутыми оказались версии WordPress с 3.5 по 3.9 и Drupal с 6.x по 7.x.
 
Представители обеих систем для управления сайтами уже выпустили обновления. Владельцам и администраторам сайтов под управлением WordPress и Drupal Голдшлейгер рекомендует обновить системы как можно скорее.
 
По данным организации W3C, WordPress является самой популярной CMS (системой управления контентом сайта) в мире с долей в 22,8%. Drupal используется на 2% всех сайтов.
 
Российские пользователи уже жаловались на проблемы с медленной работой сайтов на WordPress 4 августа на "Хабрахабре". Проблема была связана с использованием протокола XMLRPC, как отмечал и сам Голдшлейгер.
 
Уязвимость позволяет вызвать полный отказ в работе сайта небольшим XML-документом размером в несколько сотен килобайт. Для этого в документе нужно определить несколько сущностей большой длины (в несколько десятков тысяч символов) и вызвать их несколько десятков тысяч раз. При обработке 200-килобайтовый документ превратится в несколько десятков гигабайт и займёт всю доступную память сервера.
 
В качестве подтвержения своего исследования Голдшлейгер опубликовал видео, на котором он запускает один из таких скриптов на тестовом сайте под управлением WordPress. На ролике видно, как вырастает нагрузка на сервер после того, как парсер начинает свою работу, передает TJournal.

0 Последние комментарии / остальные комментарии

К этому материалу еще нет комментариев




Вы также можете оставить комментарий, авторизировавшись.