Критическая уязвимость Wordpress и Drupal позволила отключить 23% сайтов в мире Статьи редакции
В платформах для блогов и сайтов WordPress и Drupal обнаружили уязвимость, позволяющую устроить атаку на любой сайт и сделать его недоступным практически мгновенно. Об этом 5 августа сообщает исследователь безопасности в компании Salesforce.com и гендиректор Break Security Нир Голдшлейгер (Nir Goldschlager) в корпоративном блоге.
Уязвимость, известная как XML Quadratic Blowup Attack, позволяет практически мгновенно вывести из строя сайт или сервер DOS-атакой. По данным Голдшлейгера, затронутыми оказались версии WordPress с 3.5 по 3.9 и Drupal с 6.x по 7.x.
Представители обеих систем для управления сайтами уже выпустили обновления. Владельцам и администраторам сайтов под управлением WordPress и Drupal Голдшлейгер рекомендует обновить системы как можно скорее.
По данным организации W3C, WordPress является самой популярной CMS (системой управления контентом сайта) в мире с долей в 22,8 процента. Drupal используется на 2 процентах всех сайтов.
Российские пользователи уже жаловались на проблемы с медленной работой сайтов на WordPress 4 августа на «Хабрахабре». Проблема была связана с использованием протокола XMLRPC, как отмечал и сам Голдшлейгер.
Уязвимость позволяет вызвать полный отказ в работе сайта небольшим XML-документом размером в несколько сотен килобайт. Для этого в документе нужно определить несколько сущностей большой длины (в несколько десятков тысяч символов) и вызвать их несколько десятков тысяч раз. При обработке 200-килобайтовый документ превратится в несколько десятков гигабайт и займёт всю доступную память сервера.
В качестве подтвержения своего исследования Голдшлейгер опубликовал видео, на котором он запускает один из таких скриптов на тестовом сайте под управлением WordPress. На ролике видно, как вырастает нагрузка на сервер после того, как парсер начинает свою работу.
#Новость #уязвимости #Salesforce #WordPress #Drupal #XMLRPC #DOS_атаки #Нир_Голдшлейгер #Break_Security
Ну, вы поняли
Честно говоря, эти движки и без данной уязвимости легко укладываются DDoSом.
А ещё часто используются говноплагины, которые полны говнокода. Со всеми вытекающими.
Комментарий удален модератором
Если, правда, нет толковой защиты. А у всех нормальных сайтов она есть.
Если грамотно все закешировать - то никак нет. Если сайт без какого-либо интерактива то закешироваться можно до такого состояния что по факту пользователи будут получать статику.
и с помощью чего кэшировать так направленно?
У нас вообще была идея держать закрытый, удобно модерируемый и гибкий сайт на Wordpress, и перегонять его в статику при изменениях контента. Ну, или из шаблонов на лету собирать в памяти.
Всё равно динамические комментарии на стороннем сервере-движке.
Те же W3 Cache и WP Super Cache умеют делать статичные странички и попутно много всяких полезных действий включая ужимание всего и вся.
Еще как вариант есть Varnish.
ну, всегда можно посмотреть, что они делают, подчерпнуть идеи ))) и сделать что-то своё, с более компактным функционалом. Но это если захочется свой велосипед вместо вездехода.
На данный момент различных CMS развелось настолько много что даже глаза разбегаются. Куда ни глянь все «powerful, simple, modern, rapidly development», а начинаешь пользоваться - эта фича нереализована, эта через одно место сделана, тут переписывать надо и т.д.
Ну, именования у кэширующих программ тоже не страдают фантазией: W3 Cache и WP Super Cache
:)
По механизму напоминает знаменитую историю с антивирусом мейл.ру, проверявшим файлы в почте. Запакованный до нескольких килобайт многогигабайтный архив с файлом из одних нулей вызвал великолепный DoS.
Еще один плюс в копилку, написания сайта на фреймворке.
Оставлять уязвимости самому?
Все еще изобретаете велосипед?
Комментарий удален модератором
Куча задач, когда нет нужды писать 1001 cms и бегать потом к программеру за каждым чихом. Да и что быстрее исправят и найдут(!) - баг в 23% сайтов всего интернета или в вашей неповторимой?
Что-то в этом роде)
Кто ж знал что тут всего один уровень вложенности комментария.
Евгений Леонов, проще подставлять костыли к другим CMS "подстраивая" их под свои задачи?
Я имел ввиду, то что если кто-то и будет виноват в проблемах з безопасностью то только ты сам.
Смотря как писать =) Хотя если не допускать совсем уж детских ошибок как торчащие наружу SQL Injection и Local file include то вероятность взлома сайта сильно мала т.к. взломщикам не выгодно просиживать ночи с одним сайтиком, когда можно массово поломать тысячи на однотипных CMS.
Хотя вероятность точечного взлома довольно высока.
P.S. И главное не забывать про XSS
Именно это я и имел ввиду.
P.S на Django с безопасностью проблем меньше
Недавно видел сайт один на джанге. Вставил лишний параметр в урл и вывалился мне трейс ошибок =)
Тут тоже надо уметь настраиват его =)
а что за глупость отражать ddos движком? для этого есть защита на уровне сервера.
Обработка xml-rpc идет на уровне веб-приложения, на нем и ответственность за некорректную его обработку, а также в некоторой доле на самом формате xml-документов
Потому что это атака не канального уровня. Тут вредитель одним единственным запросом ставит сервер на колени. Это уязвимость конкретной реализации движка.
А у вас на вордпрессе?)
Комментарий недоступен
Силиконрус обновился уже? А то лень чекать
ЦП не на вордпрессе же. У них какая-то общая платформа с TJ, вроде.
Был на Wordpress, сейчас не сказать точно.
Тоже сайтики на Wordpress внезапно обновились сами. Воистину CMS для домохозяек. Даже за секьюрити апдейтами следить не нужно.
Теперь понял к чему это за ночь все сайты сами обновились.
На разные версии?
Я думаю это минорное обновление, чтобы не поломать тем, у кого все завязано на 3.7, обновляя его на 3.9.
CMS для самозванцев.
Каждый говнокодер обязан это минусануть. Отмечайтесь, знакомьтесь, объединяйтесь.
Несколько раз перечитал последний абзац и так и не понял чего до меня пытались донести.
Вот теперь да. А то атаку он у них прерывал.
wordpress SUX, как в принципе и всегда было
Почему-то, сразу подумал, что ВК на Вордпрессе работает. хД
А так, ясно что нету ничего надежного. Водпресс - не исключение.
Комментарий недоступен
Неа, ВК на Joomla 1.6 работает, русская сборка какая то.
А Facebook на DLE взломаной.
Пацаны, я же смайлик поставил "хД"...
Еще скажи что подумал что ТЖ на Вордпрессе работает...
Успешные тесты на Фейсбуке и ВК ?)
Facepalm года!