Denial-of-Service-Schwachstelle in Wordpess und Drupal wird behoben

SicherheitSicherheitsmanagementSoftware
security-sicherheit (Bild: Shutterstock)

Ein XML-Fehler im Parser der zwei Content-Management-Systeme erlaubte das übermäßige Auslasten von Arbeitsspeicher und Prozessor bis zum Systemabsturz. Der Fix des Problems wurde von Entwicklern beider Software-Hersteller gemeinsam entwickelt. Die Patches enthalten weitere Fehlerbdereinigungen.

Ein Security-Leck, das die Hersteller der Content-Management-Systeme Drupal und WordPress plagte, wird in einer konzertierten Aktion beseitigt. Der Fehler stammt ursprünglich weder von Drupal noch von WordPress; er steckt in einem von beiden genutzten Elment: der Programiersprache PHP, genauer gesagt deren XML-Parser.

Sicherheits-KnackDie jetzt geschlossene Sicherheitslücke erlaubte eine DoS-Attacke. Betroffen sind Drupal Core 6.x und 7.x sowie WordPress 3.9.1 und früher, 3.8.3 und früher sowie 3.7.3 und früher. Die Patches haben die Sicherheitsteams beider Unternehmen gemeinsam entwickelt. Entdeckt wurde die Lücke vom Salesforce.com-Mitarbeiter Nir Goldshlager.

Einer Sicherheitswarnung von Drupal zufolge ist der PHP XML Parser, der einen öffentlich bekannten XML-RPC-Endpunkt benutzt, anfällig für einen “XML-Entity-Expansion”-Angriff. Dadurch können CPU und Hauptspeicher vollständig ausgelastet werden und die offenen Verbindungen der Datenbank einer Website das erlaubte Maximum erreichen. Als Folge ist eine Seite nicht mehr erreichbar oder verfügbar.

WordPress zufolge ist es das erste Mal, dass beide Firmen gemeinsam einen Patch entwickelt und veröffentlicht haben. Drupal weist darauf hin, dass im Kernmodul von OpenID eine ähnliche Anfälligkeit steckt. Davon seien aber nur Websites betroffen, die das Modul aktiviert hätten. Die Drupal-DoS-Lücke wiederum lasse sich auch ausnutzen, wenn der XML-RPC nicht verwendet werde.

Drupal rät seinen Nutzern, auf die Versionen 7.31 oder 6.33 umzusteigen. WordPress wiederum bietet die fehlerbereinigten Releases 3.9.2, 3.8.4 und 3.7.3 an. Sie enthalten weitere Fixes, unter anderem für eine Schwachstelle, die bei der Verarbeitung von Widgets auftritt und unter Umständen das Einschleusen und Ausführen von Schadcode erlaubt. Zudem schützt das Update vor Brute-Force-Angriffen auf CSRF-Tokens. Es verhindert auch Cross-Site-Scripting durch Nutzer mit Administrator-Rechten.

[mit Material von Stefan Beiersmann ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen