Drupal und WordPress schließen gemeinsame DoS-Lücke

Die Sicherheitsteams der Content-Management-Systeme WordPress und Drupal haben eine Lücke in ihrer Software geschlossen, die auf fehlerhafte XML-Verarbeitung in der Programmiersprache PHP zurückgeht. Damit haben die Projekte zum ersten Mal gemeinsam an einem Sicherheits-Patch für beide System gearbeitet. Die Lücke wurde vertraulich an die Entwickler gemeldet und sollte deswegen momentan nicht ausgenutzt werden; Nutzer von WordPress oder Drupal sollten die Updates aber trotzdem so schnell wie möglich einspielen.

Durch die Lücke lässt sich der XML-RPC-Endpunkt von WordPress und Drupal mit XML-Entities angreifen, die dann explosiv auf mehrere Gigabyte Größe aufgeblasen werden. Das führt zu einer totalen Auslastung der Datenbank, die den Server in die Knie zwingt. Die Sicherheitsfirma Break Security beschreibt ausführlich, wie der Angriff funktioniert.

WordPress-Admins können mit Version 3.9.2 Abhilfe schaffen. In der Standardkonfiguration installieren sich Sicherheitsupdates selbst. Ältere Versionen sollten auf die Versionen 3.8.4 und 3.7.4 aktualisiert werden. Alle diese Versionen schließen auch drei weitere Lücken und enthalten eine Reihe kleinere Verbesserungen, die die Sicherheit der Software betreffen. Drupal-Nutzer sollten Version 7.31 oder 6.33 installieren, um die Lücke zu schließen. Mehr Drupal-spezifische Informationen zu der Lücke bietet das Drupal Security Advisory SA-CORE-2014-004. (fab)