全球两大开源CMS曝漏洞 6千万网站面临DoS威胁
作者:星期一, 八月 18, 20140

5

安全牛报道:近日,以色列一位安全研究人员Nir Goldshlager提出,在全球应用最广的两大CMS(内容管理系统)Drupal和WordPress中发现潜在的拒绝服务漏洞。该漏洞由这两大CMS中的PHP’ XML处理模块引发。Drupal系统常用于美国政府网站,包括白宫的官方网站(WhiteHouse.gov)。而全球有超过6000万的网站使用WordPress。

Nir Goldshlager,28岁,曾成功入侵Facebook超过100多次。安全牛编辑在网上看到漏洞发现者Nir Goldshlager对该漏洞的一段描述:“该漏洞可平滑的运行于Drupal和WordPress的默认安装配置中,并无需借助任何插件,只需一台设备就能利用这个漏洞。”
Drupal在其官方网站把该漏洞等级评为“中等危急”级别,并指明该漏洞存在于PHP’ XML的语法分析器中,能造成服务器的CPU与内存耗尽,从而形成拒绝服务,把网站宕倒。

目前两大开源CMS已首次携手组队解决此漏洞。先是共同发布了各自的补丁,Drupal 7的用户要升级到7.31,Drupal 6的用户要升级到6.33。WordPress 3.7版本以后的系统则无需用户手动升级,目前的最高版本为3.9.2。该漏洞对WordPress的影响可一直追溯到3.5版本,因此安全牛提醒WordPress的网站用户,确保升到最新版以避免遭到攻击。3.92版不仅解决了这个拒绝服务漏洞,而且还解决了一个插件的代码执行漏洞和一些暴力攻击及跨站脚本攻击风险。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章