Hlavní navigace

WordPress a Drupal záplatují svůj systém, miliony webů jsou v ohrožení

Jan Beránek

Analytici ze Salesforce objevili nebezpečná vrátka, která vystavují weby postavené na open-sourcových CMS Wordpress a Drupal možnosti napadení a vyřazení z provozu.

„Pokud běží vaše webové stránky na CMS Drupal nebo WordPress, potřebujete urychleně updatovat na poslední verze,“ hlásí už i tuzemský CSIRT. V případě, že správci neaktualizují svůj systém, hrozí jim jedna z forem DoS útoku – takzvaný XML Quadratic Blowup Attack. Ten umí v případě rozjezdu sestřelit server v podstatě okamžitě

Podle Nira Goldshlagera, který problém objevil a popsal na svém blogu, se chyba týká především verzí 3.5 – 3.9.1 u WordPressu a u Drupalu jde o verze šestkové a sedmičkové řady. 

Na obou systémech běží dnes miliony webů. Podle statistik W3C by měl WordPress pohánět dokonce třiadvacet procent stránek na internetu. Týmy obou CMS už vydaly aktualizace, které problém řeší.

Našli jste v článku chybu?
11. 8. 2014 8:07
kolemjdouci (neregistrovaný)

kdyby tam byly vratka tak se dostane do systemu, tohle je ale chyba, ktera umoznuje pretizit server (instanci).

13. 8. 2014 19:35
ip (neregistrovaný)

Ten bug není vážný, naopak TOHLE (automatické aktualizace) je teprve díra do systému. Stačí triviální MitM útok, updaty nejsou digitálně podepsané.

Ta chyba ve článku je hodně stará, na jiných stackách se to opravovalo před léty.

Tohle chce jediné - spolehnout se na pravidelné (ruční, distribuční) aktualizace. A kontrolovat digitální podpisy balíčků.