Hlavní navigace

WordPress a Drupal záplatují svůj systém, miliony webů jsou v ohrožení

Jan Beránek 8. 8. 2014

Analytici ze Salesforce objevili nebezpečná vrátka, která vystavují weby postavené na open-sourcových CMS Wordpress a Drupal možnosti napadení a vyřazení z provozu.

„Pokud běží vaše webové stránky na CMS Drupal nebo WordPress, potřebujete urychleně updatovat na poslední verze,“ hlásí už i tuzemský CSIRT. V případě, že správci neaktualizují svůj systém, hrozí jim jedna z forem DoS útoku – takzvaný XML Quadratic Blowup Attack. Ten umí v případě rozjezdu sestřelit server v podstatě okamžitě

Podle Nira Goldshlagera, který problém objevil a popsal na svém blogu, se chyba týká především verzí 3.5 – 3.9.1 u WordPressu a u Drupalu jde o verze šestkové a sedmičkové řady. 

Na obou systémech běží dnes miliony webů. Podle statistik W3C by měl WordPress pohánět dokonce třiadvacet procent stránek na internetu. Týmy obou CMS už vydaly aktualizace, které problém řeší.

Našli jste v článku chybu?

11. 8. 2014 8:07

kolemjdouci (neregistrovaný)

kdyby tam byly vratka tak se dostane do systemu, tohle je ale chyba, ktera umoznuje pretizit server (instanci).

13. 8. 2014 19:35

ip (neregistrovaný)

Ten bug není vážný, naopak TOHLE (automatické aktualizace) je teprve díra do systému. Stačí triviální MitM útok, updaty nejsou digitálně podepsané.

Ta chyba ve článku je hodně stará, na jiných stackách se to opravovalo před léty.

Tohle chce jediné - spolehnout se na pravidelné (ruční, distribuční) aktualizace. A kontrolovat digitální podpisy balíčků.

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět