Les failles de sécurité ne connaissent pas de vacances !
Le 5 août 2014, une nouvelle faille de sécurité a été publiée concernant les CMS WordPress et Drupal. La vulnérabilité n'est rattachée à aucun plug-in additionnel et est disponible dès la configuration par défaut de ces outils.
Qu'est-ce qu'elle permet ?
Grâce à une méthode de bombe XML nommée XML quadratic blowup attack, une personne malintentionnée peut créer un déni de service en saturant les ressources RAM et CPU du serveur hébergeant le site visé.
Cette méthode est similaire à l'attaque Billion Laughs qui utilise l'expansion d'entité. L'assaillant envoie un fichier XML qui va générer une mise en cache d'un gros volume d'informations sur le serveur. Avec cette méthode, un fichier XML d'à peine 200ko peut occuper plus centaine de Mo en RAM, voire plusieurs Go selon la structure du fichier d'origine.
Depuis quand existe-t-elle ?
D'après les informations relevée par le blog breaksec, la faille existe sur les versions suivantes :
- WordPress 3.5 – 3.9, plus d'informations
- Drupal 6.x – 7.x, plus d'informations
Comment la corriger ?
- Mettez à jour WordPress http://wordpress.org/download/
- Mettez à jour Drupal https://www.drupal.org/download
- Supprimez le fichier xmlrpc.php
Nous vous rappelons qu’il est recommandé de régulièrement mettre à jour vos applications et services, afin de garantir leur stabilité et sécurité.