ช่องโหว่ใหม่นี้ได้มีการรายงานครั้งแรกจาก Nir Goldshlager นักวิจัยด้านความปลอดภัยบน Salesforce.com ซึ่งเป็นช่องโหว่ด้าน XML มีผลกระทบ CMS ชื่อดังทั้งสองคือ WordPress และ Drupal ซึ่งรวมกันแล้วมีเว็บไซต์กว่าหลายล้านแห่งที่ตกอยู่ในความเสี่ยง
ช่องโหว่นี้จะเปิดให้ผู้ประสงค์ร้ายโจมตีในรูปแบบ XML Quadratic Blowup ที่ทำให้เอกสาร XML ขนาดเล็กๆ กินแรมจำนวนหลายกิกะไบต์ ซึ่งมากพอที่จะทำให้เซิร์ฟเวอร์หยุดทำงานไปชั่วขณะได้ ช่องโหว่นี้มีผลกระทบกับ WordPress ตั้งแต่เวอร์ชัน 3.5 - 3.9.1 และ Drupal เวอร์ชัน 6.x และ 7.x
ตอนนี้ WordPress ได้ออกอัพเดตอุดช่องโหว่ในเวอร์ชัน 3.9.2 แล้ว ส่วน Drupal ก็ได้อุดช่องโหว่ในอัพเดตเวอร์ชัน 7.31 และ 6.33 แล้วเช่นกัน เว็บของใครที่ตกอยู่ในความเสี่ยงควรให้อัพเดตทันที
ที่มา - The Hacker News
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
อัพเดทเรียบร้อยแล้ว
มันทำได้ยังไง "เอกสาร XML ขนาดเล็กๆ กินแรมจำนวนหลายกิกะไบต์"
(เดา) อาจจะให้อ่านแบบ วนลูปไม่รู้จบ หรือ วนลูปมากๆก็ได้นะครับ
กำลังหาข้อมูลอยู่เห็นว่าเกี่ยวกับ XML-RPC แต่ยังไม่รู้ว่ามันทำได้ยังไง :)
+1
ผมไม่ค่อยเชี่ยว xml แต่เท่าที่อ่าน เหมือนมันประกาศ entity "&x;" แทนตัวอักษรหลายๆตัว (คล้ายๆกับ "<" = "<" แต่อันนี้อาจจะเป็น "&x;" = ตัวอักษรแบบสุ่ม หลายหมื่อนตัว) จากนั้นก็ใส่ entity x ลงในเอกสารเยอะๆครับ พอขึ้น server มันก็ไปเอา "&x;" ไปแปลงคืนเป็น string เดิมใส่ ram หลักการคล้ายๆบีบอัดไฟล์แบบง่ายๆมั้งครับ
ถ้าอ่านของผมไม่เข้าใจ ไปดูต้นฉบับที่ผมอ่านมาได้ครับ
http://mashable.com/2014/08/06/wordpress-xml-blowup-dos/
WordPress สั่ง Auto-Update อยู่แล้ว สบายไป ส่วน Drupal นี่ซวยหนัก ต้องดาวน์โหลดแล้วคลายซิปอัพแพตช์อีก โอ๊ย! กำลังเคลียร์อยู่
Coder | Designer | Thinker | Blogger