Drupal und WordPress: Content-Management-Systeme schließen DoS-Lücke

Der Fehler tritt bei der Verarbeitung von XML in der Programmiersprache PHP auf, wodurch sich CPU und Hauptspeicher eines betroffenen Systems in der Folge vollständig auslasten lassen. Drupal und WordPress entwickeln erstmals gemeinsam einen Patch für ihre Content-Management-Systeme.

WordPress und Drupal haben eine vom Salesforce.com-Mitarbeiter Nir Goldshlager entdeckte Sicherheitslücke beseitigt, die einen Denial-of-Service-Angriff ermöglicht. Betroffen sind die Content-Management-Systeme Drupal Core 6.x und 7.x sowie WordPress 3.9.1 und früher, 3.8.3 und früher sowie 3.7.3 und früher. Die Sicherheitsteams der beider Unternehmen haben die Patches gemeinsam entwickelt.

Security (Bild: Shutterstock)

Security (Bild: Shutterstock)

Der Fehler tritt bei der Verarbeitung von XML in der Programmiersprache PHP auf. Der PHP XML Parser, der einen öffentlich bekannten XML-RPC-Endpunkt benutzt, ist einer Sicherheitswarnung von Drupal zufolge anfällig für einen XML-Entity-Expansion-Angriff. Dadurch können CPU und Hauptspeicher vollständig ausgelastet werden und die offenen Verbindungen der Datenbank einer Website das erlaubte Maximum erreichen. Als Folge ist eine Seite nicht mehr erreichbar oder verfügbar.

WordPress zufolge ist es das erste Mal, dass beide Firmen gemeinsam einen Patch entwickelt und veröffentlicht haben. Drupal weist darauf hin, dass im Kernmodul von OpenID eine ähnliche Anfälligkeit steckt. Davon seien aber nur Websites betroffen, die das Modul aktiviert hätten. Die Drupal-DoS-Lücke wiederum lasse sich auch ausnutzen, wenn der XML-RPC nicht verwendet werde.

Drupal rät seinen Nutzern auf die Versionen 7.31 oder 6.33 umzusteigen. WordPress wiederum bietet die fehlerbereinigten Releases 3.9.2, 3.8.4 und 3.7.3 an. Sie enthalten weitere Fixes, unter anderem für eine Schwachstelle, die bei der Verarbeitung von Widgets auftritt und unter Umständen das Einschleusen und Ausführen von Schadcode erlaubt. Zudem schützt das Update vor Brute-Force-Angriffen auf CSRF-Tokens. Es verhindert auch Cross-Site-Scripting durch Nutzer mit Administrator-Rechten.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Drupal und WordPress: Content-Management-Systeme schließen DoS-Lücke

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *