Drupal und WordPress beseitigen DoS-Lücke

Die Content-Management-Systeme Drupal und WordPress haben eine Sicherheitslücke geschlossen, die einen Denial-of-Service-Angriff erlaubt. Betroffen sind Drupal Core 6.x und 7.x sowie WordPress 3.9.1 und früher, 3.8.3 und früher sowie 3.7.3 und früher. Die Patches haben die Sicherheitsteams beider Unternehmen gemeinsam entwickelt. Entdeckt wurde die Lücke vom Salesforce.com-Mitarbeiter Nir Goldshlager.

Der Fehler tritt bei der Verarbeitung von XML in der Programmiersprache PHP auf. Einer Sicherheitswarnung von Drupal zufolge ist der PHP XML Parser, der einen öffentlich bekannten XML-RPC-Endpunkt benutzt, anfällig für einen XML-Entity-Expansion-Angriff. Dadurch können CPU und Hauptspeicher vollständig ausgelastet werden und die offenen Verbindungen der Datenbank einer Website das erlaubte Maximum erreichen. Als Folge ist eine Seite nicht mehr erreichbar oder verfügbar.

WordPress zufolge ist es das erste Mal, dass beide Firmen gemeinsam einen Patch entwickelt und veröffentlicht haben. Drupal weist darauf hin, dass im Kernmodul von OpenID eine ähnliche Anfälligkeit steckt. Davon seien aber nur Websites betroffen, die das Modul aktiviert hätten. Die Drupal-DoS-Lücke wiederum lasse sich auch ausnutzen, wenn der XML-RPC nicht verwendet werde.

Drupal rät seinen Nutzern auf die Versionen 7.31 oder 6.33 umzusteigen. WordPress wiederum bietet die fehlerbereinigten Releases 3.9.2, 3.8.4 und 3.7.3 an. Sie enthalten weitere Fixes, unter anderem für eine Schwachstelle, die bei der Verarbeitung von Widgets auftritt und unter Umständen das Einschleusen und Ausführen von Schadcode erlaubt. Zudem schützt das Update vor Brute-Force-Angriffen auf CSRF-Tokens. Es verhindert auch Cross-Site-Scripting durch Nutzer mit Administrator-Rechten.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de