Die Content-Management-Systeme Drupal und WordPress haben eine Sicherheitslücke geschlossen, die einen Denial-of-Service-Angriff erlaubt. Betroffen sind Drupal Core 6.x und 7.x sowie WordPress 3.9.1 und früher, 3.8.3 und früher sowie 3.7.3 und früher. Die Patches haben die Sicherheitsteams beider Unternehmen gemeinsam entwickelt. Entdeckt wurde die Lücke vom Salesforce.com-Mitarbeiter Nir Goldshlager.
Der Fehler tritt bei der Verarbeitung von XML in der Programmiersprache PHP auf. Einer Sicherheitswarnung von Drupal zufolge ist der PHP XML Parser, der einen öffentlich bekannten XML-RPC-Endpunkt benutzt, anfällig für einen XML-Entity-Expansion-Angriff. Dadurch können CPU und Hauptspeicher vollständig ausgelastet werden und die offenen Verbindungen der Datenbank einer Website das erlaubte Maximum erreichen. Als Folge ist eine Seite nicht mehr erreichbar oder verfügbar.
WordPress zufolge ist es das erste Mal, dass beide Firmen gemeinsam einen Patch entwickelt und veröffentlicht haben. Drupal weist darauf hin, dass im Kernmodul von OpenID eine ähnliche Anfälligkeit steckt. Davon seien aber nur Websites betroffen, die das Modul aktiviert hätten. Die Drupal-DoS-Lücke wiederum lasse sich auch ausnutzen, wenn der XML-RPC nicht verwendet werde.
Drupal rät seinen Nutzern auf die Versionen 7.31 oder 6.33 umzusteigen. WordPress wiederum bietet die fehlerbereinigten Releases 3.9.2, 3.8.4 und 3.7.3 an. Sie enthalten weitere Fixes, unter anderem für eine Schwachstelle, die bei der Verarbeitung von Widgets auftritt und unter Umständen das Einschleusen und Ausführen von Schadcode erlaubt. Zudem schützt das Update vor Brute-Force-Angriffen auf CSRF-Tokens. Es verhindert auch Cross-Site-Scripting durch Nutzer mit Administrator-Rechten.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…