开源的Drupal和WordPress内容管理团队首次协调了联合安全发布,以修复新漏洞。该漏洞由安全研究人员Nir Goldshlager首次报告,是PHP的XML处理模块潜在的拒绝服务(DoS)问题。Drupal和WordPress使用相同的PHP模块,这就是为什么两个内容管理系统都存在相同漏洞的风险。Drupal尤为突出,因为它在包括WhiteHouse.gov在内的美国政府网站上使用,而WordPress已在超过6000万个网站上部署。
“此错误可以在没有任何插件的帮助下被利用,并且它WordPress的和Drupal的默认安装顺利的功能,” Goldshlager在解释咨询(其上的WordPress站点本身上运行)。“只有一台机器需要利用此漏洞。”
在咨询上drupal.org网站,该漏洞被评为中等危急。Drupal公告解释说,Goldshlager发现的错误在PHP XML解析器中,并且可能触发CPU和内存耗尽,从而在受影响的站点上导致DoS条件。
Drupal和WordPress都发布了补丁来修复该缺陷。Drupal 7用户需要更新到版本7.31,而Drupal 6用户需要更新到版本6.33。
WordPress用户也需要更新,但是由于WordPress包含自动更新技术,因此许多用户可能已经更新,而无需任何人工干预。从2013年10月的WordPress 3.7版本开始,安全性和错误修复更新已自动启用。WordPress 3.9.2是最新的WordPress版本,并且是可修复DoS问题的自动更新。
但是,PHP DoS问题会一直影响WordPress版本,直至WordPress 3.5。因此,对于网站所有者来说,确保他们更新到WordPress的最新版本非常重要,以修复新的漏洞并保持最新的错误修复。
DoS问题不是WordPress 3.9.2中唯一与安全相关的修复程序。还修复了WordPress小部件可能存在的代码执行漏洞。此外,还有一个修补程序,用于通过XML进行潜在的信息泄露风险。
WordPress安全团队还采取了WordPress 3.9.2中的步骤,以进一步增强系统免受暴力攻击和跨站点脚本编写风险。