7 de agosto de 2014

FALLO SEGURIDAD. Común a WordPress y Drupal dejó fuera de servicio a mile de webs

El fallo de seguridad, descubierto por un investigador y notificados a ambos CMS, provocaba que cualquier página que corriese bajo estos gestores pudiese ser “tumbada”, pudiendo afectar de igual forma a los servidores que alojan estas.
Teniendo en cuenta que más del 25% de Internet se sustenta gracias a WordPress, las prisas por encontrar una solución se han puesto de manifiesto, viéndose obligados a trabajar de forma conjunta WordPress y Drupal. Después de varios días el problema de seguridad ha sido resuelto en ambos CMS, sin embargo, ahora tocar explicar en qué consistía el fallo de seguridad que había sido detectado.
El ataque ha sido bautizado como XML Quadratic Blowup
  • El ataque consiste en crear un fichero que posea una entidad repetida varias veces, en concreto miles de veces. El archivo solo ocuparía unos pocos kbps, sin embargo, al ser cargado en el servidor e interpretado es donde surge el problema. Este comienza a utilizar una gran cantidad de memoria RAM siendo incluso varios los gigabytes utilizados, teniendo como resultado final la caída del servidor por sobrecarga.
La vulnerabilidad ha sido corregida
  • Los usuarios no tienen que temer por la integridad del blog y de los datos alojados. Ambos CMS tal y como ya hemos comentado con anterioridad, han trabajado de forma conjunta para poder obtener una solución. Esta solución ya se encuentra presente en ambos y el fallo de seguridad ya no existe, por lo que es muy importante actualizar a la última versión en ambos sistemas.
Fuente: Alt1040