Update jouw Drupal systeem zsm naar versie 7.31 / 6.33

07 Aug 2014

Joris Snoek - Business Dev
+31 (0)20 - 261 14 99

Als je jouw website(s) op Drupal hebt draaien is dat natuurlijk goed, maar zorg er wel voor dat je security updates toepast zodra deze uitkomen!

Voornamelijk de laatste update die gisteren is uitgekomen.

Commerciële mededeling: Lucius kan automatisch security updates doorvoeren voor jouw Drupal website(s), zodat je hier geen omkijken naar hebt. Inmiddels zijn alle installaties van onze klanten up-to-date en dus niet meet vatbaar.

Waarom Drupal 7.31 update belangrijk ?

Meneertje Nir Goldshlager, een veiligheidsonderzoeker bij Salesforce.com ontdekte een lek in het XML-RPC deel van Drupal. En ook Wordpress by the way.

Dit lek, ook bekend als een 'XML Quadratic Blowup attack', kan ervoor zorgen dat je complete website en server snel down gaan.

Miljoenen websites vatbaar

Drupal en Wordpress worden gebruikt op miljoenen websites. Het lek is ontdekt in Wordpress 3.5 & 3.7 en de laatste Drupal versies 6 en 7.

Het goede nieuws is dat zowel Wordpress als Drupal vrijwel direct een patch hebben uitgebracht, zoals gewoonlijk bij goede open source software. Deze update moet je uiteraard wel z.s.m. toepassen!

Wanneer het lek wordt misbruikt door hackers, dan kan dit resulteren in een website die geheel onbeschikbaar wordt, de webserver kan tot 100% CPU en RAM gepusht worden en een DOS attack kan worden uitgevoerd op de MySQL database. Niet zo best dus.

Wanneer het lek door hackers wordt misbruikt kan dit resulteren in een website die geheel onbeschikbaar wordt. Een DOS attack kan worden uitgevoerd op de MySQL database, wat kan resulteren in 100% CPU- en RAM verbruik. Niet zo best dus

Hoe werkt deze aanval dan?

Dit lek wordt dus een 'XML Quadratic Blowup attack' genoemd. Dit soort aanvallen zijn gelijk aan een 'Billion Laughs attack'. Hierbij kan een simpel, klein XML bestand een webserver om zeep helpen in luttele seconden.

De Quadratic Blowup is soortgelijk, maar in plaats van 'geneste entiteiten', wordt één grote entiteit met 10.000-en karakters zeer veel keer herhaald opgenomen in het XML bestand.

Bij zo'n soort aanval zal een XML document van enkele honderden kilobytes, enkele honderden megabytes geheugen innemen. Waardoor je webserver makkelijk down gaat.

In Goldshlager's woorden:

If an attacker defines the entity "&x;" as 55,000 characters long, and refers to that entity 55,000 times inside the "DoS" element, the parser ends up with an XML Quadratic Blowup attack payload slightly over 200 KB in size that expands to 2.5 GB when parsed. This expansion is enough to take down the parsing process."

Hoe wordt de aanval uitgevoerd

De standaard geheugen limiet voor PHP (waar Drupal en Wordpress op draaien) is 128 MB per proces. Dit betekent in theorie dat het geheugen die 128MB niet kan overschrijven wanneer een 'XML bomb request' zich voordoet. Dus dat is goed.

Maar hier komt het probleem: webserver 'Apache' heeft een instelling "Max clients" en die staat standaard op 256. En MySQL, de database waar Wordpress en Drupal op draaien heeft een instelling "Max Connections", die standaard staat op 151.

Wanneer je die vermenigvuldigt met elkaar, komt je op 19328 MB (128x151). Dit zal dus al het beschikbare geheugen van je server opslokken.

Hoe te fixen

De Wordpress en Drupal teams hebben samengewerkt om hun software te beschermen tegen dit soort aanvallen.

Download en installeer dus de laatste versie. In geval van Drupal, zie hier

Bronnen:

Wrap up

Vragen, suggesties? Let me know.

Comments

Nóg meer
kennis nodig?

Check ons ons blog archief >