CSIRT Panamá Aviso 2014-06- Denegación de Servicio en Drupal y WordPress
Gravedad: ALTA
Fecha de publicación: Agosto 11, 2014
Fecha de modificación: Agosto 11, 2014
Última revisión: Revisión A.
Fuente: CSIRT Panamá
Sistemas afectados
WordPress 3.5 – 3.9
Drupal 6.x – 7.x
I. Descripción
Las versiones de los manejadores de contenido mencionados, WordPress 3.5 – 3.9 y Drupal 6.x – 7.x; incluyen un XML-RPC (protocolo de llamada a procedimiento remoto) público (xmlrpc.php). El parser XML de PHP utilizado por este XML-RPC es vulnerable a un ataque de expansión de entidad XML u otros ataques relacionados. Esta vulnerabilidad puede causar el agotamiento de recursos (CPU y memoria) en el sistema afectado, causando finalmente una negación de servicio (DoS) al sitio.
II. Impacto
Vector de acceso: A través de red.
Complejidad de Acceso: Media.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso total de la integridad del sistema + Compromiso total de la disponibilidad del sistema.
III. Detección
Revisar la versión de los manejadores de contenidos utilizados por su organización o institución.
Versiones vulnerables:
- WordPress 3.5 – 3.9
- Drupal 6.x – 7.x
III. Mitigación
Actualizar el software
Se recomienda actualizar a la última versión de los manejadores de contenido.
La última versión de WordPress es la 3.9.2.
Si usted utiliza Drupal 7.x actualice a Núcleo Drupal 7.31.
Si usted utiliza Drupal 6.x actualice a Núcleo Drupal 6.33.
Si no es posible instalar la última versión de los manejadores de contenido inmediatamente, usted puede de forma alternativa; remover el archivo xmlrpc.php de la raíz del núcleo de Drupal (o agregar una regla a .htaccess para prevenir el acceso al archivo xmlrpc.php) y desactivar el módulo OpenID. Estas recomendaciones son suficientes para mitigar la vulnerabilidad en el núcleo de Drupal si su sitio web no requiere la utilización del XML-RPC o la funcionalidad de OpenID. Cabe destacar, si su sitio web utiliza un módulo que expone el API del XML-RPC en una URL diferente; entonces usted deberá considerar actualizar su manejador de contenido.
IV. Información adicional
[1] https://wordpress.org/news/2014/08/wordpress-3-9-2/
[2] https://www.drupal.org/SA-CORE-2014-004
[3] http://www.breaksec.com/?p=6362
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: https://www.cert.pa
—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v2.0.17 (MingW32)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=JUYg
—–END PGP PUBLIC KEY BLOCK—–