XML уязвимость CMS WordPress и Drupal

14 Aug 2014 | Автор: anchous |

На той неделе появилась информация о том, что сайты под управлением CMS WordPress и Drupal подвержены уязвимости, позволяющей используя механизм PHP XML произвести DDoS атаку на площадку под управлением веб-сервера апач.

Смысл атаки сводится к генерации циклического запроса xml через файл xmlrpc.php, находящийся в корневой директории сайта. Атака рассчитана на дефолтные настройки лимитов апача или php, которые при перемножении превышают доступную память сервера, т.ч. либо падает мускуль из-за недостатка памяти, либо просто машина перестает отвечать на новые запросы.

Противодействие данной атаке простое- либо удалить файл xmlrpc.php из корня сайта, либо обновить версии CMS до последних, в которых эта уязвимость устранена.

Надо заметить что XML нужен для взаимодействия с вашим сайтом внешними сервисами для постинга и управления сайтом, т.ч если вы все делаете руками, то он вам и не нужен.

VN:F [1.9.21_1169]
Rating: 6.7/10 (3 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 2 votes)
XML уязвимость CMS WordPress и Drupal, 6.7 out of 10 based on 3 ratings

Теги:

Ваш отзыв