Критическая уязвимость Wordpress и Drupal позволила отключить 23% сайтов в мире
В платформах для блогов и сайтов WordPress и Drupal обнаружили уязвимость, позволяющую устроить атаку на любой сайт и сделать его недоступным практически мгновенно. Об этом 5 августа сообщает исследователь безопасности в компании Salesforce.com и гендиректор Break Security Нир Голдшлейгер (Nir Goldschlager) в корпоративном блоге.
» Нажмите, для открытия спойлера | Press to open the spoiler «
Уязвимость, известная как XML Quadratic Blowup Attack, позволяет практически мгновенно вывести из строя сайт или сервер DOS-атакой. По данным Голдшлейгера, затронутыми оказались версии WordPress с 3.5 по 3.9 и Drupal с 6.x по 7.x.
Представители обеих систем для управления сайтами уже выпустили обновления. Владельцам и администраторам сайтов под управлением WordPress и Drupal Голдшлейгер рекомендует обновить системы как можно скорее.
По данным организации W3C, WordPress является самой популярной CMS (системой управления контентом сайта) в мире с долей в 22,8 процента. Drupal используется на 2 процентах всех сайтов.
Российские пользователи уже жаловались на проблемы с медленной работой сайтов на WordPress 4 августа на «Хабрахабре». Проблема была связана с использованием протокола XMLRPC, как отмечал и сам Голдшлейгер.
Уязвимость позволяет вызвать полный отказ в работе сайта небольшим XML-документом размером в несколько сотен килобайт. Для этого в документе нужно определить несколько сущностей большой длины (в несколько десятков тысяч символов) и вызвать их несколько десятков тысяч раз. При обработке 200-килобайтовый документ превратится в несколько десятков гигабайт и займёт всю доступную память сервера.
В качестве подтвержения своего исследования Голдшлейгер опубликовал видео, на котором он запускает один из таких скриптов на тестовом сайте под управлением WordPress. На ролике видно, как вырастает нагрузка на сервер после того, как парсер начинает свою работу.
»» Нажмите, для закрытия спойлера | Press to close the spoiler «« видео
Источник:tjournal_ru
Немножко уязвимостей в OpenSSL
Команда разработчиков OpenSSL выпустила Security Advisory, в котором рассказывается о 9 новых уязвимостях в OpenSSL, и настоятельно рекомендуют обновляться:
Пользователям OpenSSL 0.9.8 до версии 0.9.8zb
Пользователям OpenSSL 1.0.0 до версии 1.0.0n
Пользователям OpenSSL 1.0.1 до версии 1.0.1i
Исправленные уязвимости:
» Нажмите, для открытия спойлера | Press to open the spoiler «
Information leak in pretty printing functions (CVE-2014-3508) — приводит к утечке информации из стека при использовании функций «красивого» вывода.
Crash with SRP ciphersuite in Server Hello message (CVE-2014-5139) — приводит к падению клиента (из-за null pointer dereference), если сервер будет использовать SRP ciphersuite.
Race condition in ssl_parse_serverhello_tlsext (CVE-2014-3509) — сервер злоумышленника может записать до 255 байт на клиенте.
Double Free when processing DTLS packets (CVE-2014-3505) — приводит к падению клиента, если сервер отправит специально сформированный DTLS-пакет.
DTLS memory exhaustion (CVE-2014-3506) — приводит к увеличенному потреблению памяти при обработке DTLS-пакетов.
DTLS memory leak from zero-length fragments (CVE-2014-3507) — приводит к утечке памяти при отправке специально сформированного DTLS-пакета.
OpenSSL DTLS anonymous EC(DH) denial of service (CVE-2014-3510) — приводит к падению клиента, если сервер использует анонимный EC(DH) и специальным образом отправит handshake.
OpenSSL TLS protocol downgrade attack (CVE-2014-3511) — позволяет произвести downgrade соединения до TLS 1.0 MiTM-атакующему.
SRP buffer overrun (CVE-2014-3512) — позволяет переполнить внутренний буфер обработки SRP.
»» Нажмите, для закрытия спойлера | Press to close the spoiler «« Если в вашей системе используется разделение пакетов, не забудьте обновить libssl, а не только сам openssl.
Естественно, приложения, использующие openssl, должны быть перезапущены.
Источник: habrahabr