Уязвимость, известная как XML Quadratic Blowup Attack, позволяет практически мгновенно вывести из строя сайт или сервер DOS-атакой. По данным Голдшлейгера, затронутыми оказались версии WordPress с 3.5 по 3.9 и Drupal с 6.x по 7.x.
Представители обеих систем для управления сайтами уже выпустили обновления. Владельцам и администраторам сайтов под управлением WordPress и Drupal Голдшлейгер рекомендует обновить системы как можно скорее.
По данным организации W3C, WordPress является самой популярной CMS (системой управления контентом сайта) в мире с долей в 22,8 процента. Drupal используется на 2 процентах всех сайтов.
Российские пользователи уже жаловались на проблемы с медленной работой сайтов на WordPress 4 августа на «Хабрахабре». Проблема была связана с использованием протокола XMLRPC, как отмечал и сам Голдшлейгер.
Уязвимость позволяет вызвать полный отказ в работе сайта небольшим XML-документом размером в несколько сотен килобайт. Для этого в документе нужно определить несколько сущностей большой длины (в несколько десятков тысяч символов) и вызвать их несколько десятков тысяч раз. При обработке 200-килобайтовый документ превратится в несколько десятков гигабайт и займёт всю доступную память сервера.
В качестве подтвержения своего исследования Голдшлейгер опубликовал видео, на котором он запускает один из таких скриптов на тестовом сайте под управлением WordPress. На ролике видно, как вырастает нагрузка на сервер после того, как парсер начинает свою работу.
Источник: TJOURNAL