Se ha hecho
pública una vulnerabilidad de denegación de servicio que afecta a todos los
sitios web con Drupal (al igual que a Wordpress), y permite a un atacante
consumir la CPU y memoria del sistema consiguiendo que las conexiones de la
base de datos alcancen el límite de conexiones abiertas. La vulnerabilidad ha
sido catalogada con nivel de Importancia: 3 - Media
Recursos afectados
- Drupal core 7.x anteriores a 7.31
- Drupal core 6.x anteriores a 6.33
- La vulnerabilidad en el servicio XML-RPC (a través de xmlrpc.php), afecta al parser XML que utiliza, el cual es vulnerable a ataques de expansión de entidad XML y otros ataques relacionados con XML.
- Una vulnerabilidad similar afecta al módulo OpenID.
- Actualizar a versiones 7.31 o 6.33
- SA-CORE-2014-004 - Drupal core - Denial of service https://www.drupal.org/SA-CORE-2014-004