XML уязвимость CMS WordPress и Drupal
14 Aug 2014 | Автор: dd |На той неделе появилась информация о том, что сайты под управлением CMS WordPress и Drupal подвержены уязвимости, позволяющей используя механизм PHP XML произвести DDoS атаку на площадку под управлением веб-сервера апач.
Смысл атаки сводится к генерации циклического запроса xml через файл xmlrpc.php, находящийся в корневой директории сайта. Атака рассчитана на дефолтные настройки лимитов апача или php, которые при перемножении превышают доступную память сервера, т.ч. либо падает мускуль из-за недостатка памяти, либо просто машина перестает отвечать на новые запросы.
Противодействие данной атаке простое- либо удалить файл xmlrpc.php из корня сайта, либо обновить версии CMS до последних, в которых эта уязвимость устранена.
Надо заметить что XML нужен для взаимодействия с вашим сайтом внешними сервисами для постинга и управления сайтом, т.ч если вы все делаете руками, то он вам и не нужен.
Теги: сайты
