Come anticipato, il security team di WordPress e quello di Drupal hanno collaborato per la prima volta nel quadro di un intervento legato alla sicurezza dei rispettivi progetti; i risultati di tale partnership sono stati nell'ordine WordPress 3.9.2, per quanto riguarda la creatura di Matt Mullenweg, Drupal 7.31 e Drupal 6.33 relativamente al CMS di Dries Buytaert e soci. In tutti e tre i casi si tratta di security release.
Riguardo al solo caso di Drupal, l'aggiornamento ha coinvolto entrambi i due rami di sviluppo attualmente supportati (il 6.x continuerà ad esserlo per alcuni mesi anche dopo il rilascio della versione 8); curiosamente il team dell'applicazione ha sottolineato inizialmente che sia Drupal 7.31 che Drupal 6.33 andrebbero considerate delle "maintenance release" che contengono anche delle correzioni finalizzate all'eliminazione di vulnerabilità, nello stesso comunicato, però, i due aggiornamenti vengono definiti come "security release only".
In sostanza le versioni 7.31 e 6.33 sarebbero state implementate in risposta alla scoperta di una falla a livello di core classificata come "moderatamente critica". Entrambi i rami infatti includono un endpoint XML-RPC (xmlrpc.php) disponibile pubblicamente; praticamente il parser PHP per XML utilizzato da questo endpoint sarebbe potuto risultare vulnerabile in caso di attacchi finalizzati alla generazione di DoS (Denial of service) operati tramite l'espansione di entità XML.
Sfruttando tale falla, almeno in teoria un utente malintenzionato avrebbe potuto attivare una procedura remota in grado di generare un livello talmente alto di payload da causare l'esaurimento delle risorse disponibili in termini di calcolo da parte della CPU, memoria accessibile e numero di connessioni attivabili simultaneamente attraverso il Database Manager, con il risultato di rendere irraggiungibile le installazioni coinvolte.
E' da sottolineare che tutti i siti basati su Drupal non aggiornati alle ultime versioni disponibili risulterebbero comunque vulnerabili in caso di un eventuale attacco, indipendentemente dal fatto che il protocollo XML-RPC venga utilizzato o meno; una problematica simile sarebbe stata individuata anche nel core del modulo OpenID, ma in questo caso il rischio riguarderebbe soltanto i siti Web per i quali tale modulo è stato attivato.
Via Drupal
/https://www.html.it/app/uploads/2024/03/WordPress.png)
/https://www.html.it/app/uploads/2024/03/domestika.jpg)
/https://www.html.it/app/uploads/2023/12/wordpress.png)
/https://www.html.it/app/uploads/2024/02/WP65.jpg)