Les failles de sécurité ne connaissent pas de vacances !
Le 5 août 2014, une nouvelle faille de sécurité a été publiée concernant les CMS WordPress et Drupal. La vulnérabilité n'est rattachée à aucun plug-in additionnel et est disponible dès la configuration par défaut de ces outils.
Qu'est-ce qu'elle permet ?
Grâce à une méthode de bombe XML nommée XML quadratic blowup attack, une personne malintentionnée peut créer un déni de service en saturant les ressources RAM et CPU du serveur hébergeant le site visé.
Cette méthode est similaire à l'attaque Billion Laughs qui utilise l'expansion d'entité. L'assaillant envoie un fichier XML qui va générer une mise en cache d'un gros volume d'informations sur le serveur. Avec cette méthode, un fichier XML d'à peine 200ko peut occuper plus centaine de Mo en RAM, voire plusieurs Go selon la structure du fichier d'origine.
Depuis quand existe-t-elle ?
D'après les informations relevée par le blog breaksec, la faille existe sur les versions suivantes :
- WordPress 3.5 – 3.9, plus d'informations
- Drupal 6.x – 7.x, plus d'informations
Comment la corriger ?
- Mettez à jour WordPress http://wordpress.org/download/
- Mettez à jour Drupal https://www.drupal.org/download
- Supprimez le fichier xmlrpc.php
Nous vous rappelons qu’il est recommandé de régulièrement mettre à jour vos applications et services, afin de garantir leur stabilité et sécurité.
Visitez 
Naxos
Markethings
DataTourisme
Explorez les coulisses des 25 ans d'expertise d'Ikoula dans l'hébergement web et le cloud grâce au dernier article récemment paru dans le Figaro Partner. Dans cet article, Joaquim dos Santos, Directeur R&D, détaille l'offre d'Ikoula et ses solutions cloud sur-mesure adaptées à chaque entreprise, des PME aux grands comptes. Découvrez ainsi comment notre approche personnalisée, notre engagement en matière de sécurité, et notre expertise continue apportent une valeur ajoutée aux entreprises, tout en intégrant une forte dimension écoresponsable qui façonne notre vision d'un avenir plus durable.
