數千萬WordPress和Drupal站點存在DDoS風險
作者:嘎巴嘎巴
近日,白帽子Nir goldshlager發現了WordPress和Drupal存在DDoS攻擊風險,受影響的版本為WordPress 3.5 – 3.9和Drupal 6.x – 7.x,根據維基百科的數據,使用WordPress的站點可能超過6千萬,更有超過100萬的Drupal網站。
近日,白帽子Nir goldshlager發現了WordPress和Drupal存在DDoS攻擊風險,受影響的版本為WordPress 3.5 – 3.9和Drupal 6.x – 7.x,根據維基百科的數據,使用WordPress的站點可能超過6千萬,更有超過100萬的Drupal網站。
漏洞影響范圍:
WordPress 3.5 – 3.9 默認配置
Drupal 6.x – 7.x 默認配置
漏洞造成的影響:
站點無法正常運行,CPU滿負荷。
處理辦法:
升級WordPress和Drupal,或者直接刪除xmlrpc.php。
測試視頻:
http://player.vimeo.com/video/102709635
PoC僅供把自己搞死機,請勿用于非法用途:
https://docs.google.com/file/d/0B2-5ltUODX1Lc3pGV0FjbUk4bjA/edit?usp=sharing
更多關于此漏洞的詳細說明請見:
http://www.breaksec.com/?p=6362
http://thehackernews.com/2014/08/millions-of-wordpress-and-drupal.html
責任編輯:藍雨淚
來源:
FreeBuf
