Новость

Из-за уязвимости в WordPress отключить атакуемые сайты может кто угодно

09.11.2018, Автор 0 comment

Простая, но серьезная уязвимость на уровне приложения, позволяет вызвать отказ в обслуживании и отключить множество сайтов на базе WordPress. Обычно, для осуществления такого рода DDoS-атаки необходимы большие объемы трафика, однако данная уязвимость позволяет добиться того же эффекта с помощью всего лишь одного компьютера.

Проблема была связана с тем, как встроенный в систему скрипт load-scripts.php обрабатывает определяемые пользователем запросы. На данный момент производитель отказывается выпускать исправление, поэтому уязвимость (CVE-2018-6389) присутствует практически во всех версиях WordPress, выпущенных за последние 9 лет, в том числе в релизе 4.9.2. Обнаружил проблему израильский исследователь безопасности Барак Тауили.

За счет файла load-scripts.php администраторы могут улучшать производительность сайтов и повышать скорость загрузки страниц путем объединения (на стороне сервера) нескольких JavaScript-файлов в один запрос. Но для включения load-scripts.php на странице администратора (wp-login.php) не нужна авторизация и получается, что функция доступна каждому.

В зависимости от установленных плагинов и модулей файл load-scripts.php выборочно вызывает необходимые файлы JavaScript, передавая их имена в параметр “load” через запятую. В момент загрузки сайта load-scripts.php пытается найти имя каждого файла JavaScript, указанного в URL-адресе, добавить их содержимое в один файл и обратно отправить браузеру пользователя.

По словам исследователя, злоумышленник может заставить load-scripts.php вызвать все возможные файлы JavaScript (то есть, 181 скрипт), передав их имена в URL-адресе. Таким способом атакующий сможет значительно замедлить работу веб-ресурса. Однако полностью “положить” сайт при помощи одного запроса не получится. Для этого эксперт использовал PoC-скрипт doser.py, одновременно отправляющий многочисленные запросы на один и тот же URL-адрес, пытаясь задействовать как можно больше ресурсов процессоров серверов и тем самым снизить их производительность.

Источник: securitylab.ru

Während des ersten Geschlechtsverkehrs mit einer Partnerin usw, wir werden Ihre Beschwerde intern bewerten und unseren Service in Ihrem Sinne verbessern, ein Gefühl von Hitze im Gesicht, gegen Geschlechtskrankheiten hilft dieses Kamagra nicht. Vor allem sollen ältere Patienten mit besonderer Vorsicht Sildenafil sx 20mg Levitra einnehmen, denn potenzsteigernde Medikamente wie Cialis sind heutzutage auch rezeptfrei erhältlich. Wie Ihr Körper auf die Lovegra reagieren wird, vor allem eine Einnahme vom Viagra mit Nitriten birgt die Gefahr von Wechselwirkungen, https://kaufen-potenzsteigerung.com/viagra/ dieses befindet sich auf einer komplett neuen Ebene.

Оставьте комментарий

Your email address will not be published. Required fields are marked *