Notificaciones sobre fallos en algún CMS están a la orden del día. Lo que sí resulta poco común es que un mismo fallo detectado en un CMS afecte también a otro y que estos sean dos de los más utilizados en este momento. Nos estamos refiriendo a WordPress y Drupal, dos CMS que se han visto afectados por el mismo fallo de seguridad que ha afectado a miles de páginas web y que ha dejado fuera de servicio una gran cantidad de servidores.
El fallo de seguridad, descubierto por un investigador y notificados a ambos CMS, provocaba que cualquier página que corriese bajo estos gestores pudiese ser «tumbada», pudiendo afectar de igual forma a los servidores que alojan estas.
Teniendo en cuenta que más del 25% de Internet se sustenta gracias a WordPress, las prisas por encontrar una solución se han puesto de manifiesto, viéndose obligados a trabajar de forma conjunta WordPress y Drupal. Después de varios días el problema de seguridad ha sido resuelto en ambos CMS, sin embargo, ahora tocar explicar en qué consistía el fallo de seguridad que había sido detectado.
El ataque ha sido bautizado como XML Quadratic Blowup
El ataque consiste en crear un fichero que posea una entidad repetida varias veces, en concreto miles de veces. El archivo solo ocuparía unos pocos kbps, sin embargo, al ser cargado en el servidor e interpretado es donde surge el problema. Este comienza a utilizar una gran cantidad de memoria RAM siendo incluso varios los gigabytes utilizados, teniendo como resultado final la caída del servidor por sobrecarga.
La vulnerabilidad ha sido corregida
Los usuarios no tienen que temer por la integridad del blog y de los datos alojados. Ambos CMS tal y como ya hemos comentado con anterioridad, han trabajado de forma conjunta para poder obtener una solución. Esta solución ya se encuentra presente en ambos y el fallo de seguridad ya no existe, por lo que es muy importante actualizar a la última versión en ambos sistemas.
Fuente | Alt1040