Критическая уязвимость в Wordpress и Drupal

Исследователь безопасности из Salesforce.com, обнаружил XML уязвимость в Wordpress с версии 3.5 по 3.9, и Droopal от 6.x до 7.x. Используя данную уязвимость в считанные секунды можно вывести из строя не только сайт но и весь сервер.

В основе уязвимости лежит передача небольшого XML документа парсеру, который в итоге способен полностью загрузить процессор сервера и его память. Атака получила название XML Quadratic Blowup Attack.
По словам исследователя передавая анализатору XML сообщение вида:

<?xml version="1.0"?>
<!DOCTYPE DoS [
<!ENTITY a "xxxxxxxxxxxxxxxxx...">
]>
<DoS>&x;&x;&x;&x;&x;&x;&x;&x;&x;...</DoS>
</code>

Выполняется данная атака. Если атакующий определяет длину сущности &x; в 55 000 символов и ссылается на нее 55 000 раз внутри DoS элемента, парсер сталкивается с нагрузкой атаки XML Quadratic Blowup чуть более 200 КБ, которая расширяется до 2,5 ГБ в процессе обработки. Такого размера достаточно для того чтоб вывести из строя процесс обработки или весь сервер.

По умолчанию процесс PHP разрешает использовать на сервере не более 128 мб. Памяти. Поэтому для выведения из строя сервера, потребуется несколько идентичных вызовов. Поскольку на серверах, как правило, имеется лимит обращений и лимит используемых ресурсов, в какой-то момент сервер начнет отклонять все последующие обращения к сайту.

Wordpress и Drupal уже выпустили обновления для защиты от XML Quadratic Blowup уязвимости.

На Wordpress обычно атака осуществляется через сервис XML-RPC. Как правило, файл xmlrpc.php расположен в корне сайта и не закрыт для общего доступа. Обезопасить себя не сложно. Для этого в файла .htaccess, который, как правило, расположен в корне сайта, нужно добавить следующие строки:

<FilesMatch "xmlrpc.php">
order deny,allow
allow from Ваш IP адрес
deny from all
</FilesMatch>