Salesforce.comのセキュリティ研究者であるNir Goldschlegerは、WordPressとDrupalのXML脆弱性を発見し、 Mashableを作成しました。 この脆弱性は、よく知られているXML攻撃Quadratic Blowup Attackを使用します。実行されると、ほぼ瞬時にサイトまたはサーバー全体を攻撃できます。
Goldschlegerが発見したXMLの脆弱性により、プロセッサとRAMに100%の負荷がかかり、サーバーにアクセスできなくなり、MySQLデータベースにDoS攻撃が発生します。 脆弱性は、WordPress 3.5から3.9(現在のバージョン)およびDrupal 6.xから7.x(最新バージョン)に存在します。 WordPressとDrupalはすでにパッチをリリースしています。
XML Quadratic Blowup攻撃は、Billion Laughs攻撃に似ており、非常に小さなXML文書でマシン上のサービスを数秒で完全に破壊することができます。 XMLドキュメント内でネストされたオブジェクトを使用する代わりに、Quadratic Blowup Attackは、何万もの文字を含む1つの大きなレコードを繰り返し繰り返します。
この種の攻撃では、サイズが数百キロバイトのXML文書が数百メガバイト、さらにはギガバイトのメモリを占有する可能性があります。 サイト全体またはWebサーバーを簡単に配置できます。 Goldschlegerによると:
<?xml version="1.0"?> <!DOCTYPE DoS [ <!ENTITY a "xxxxxxxxxxxxxxxxx..."> ]> <DoS>&x;&x;&x;&x;&x;&x;&x;&x;&x;...</DoS> </code>
「攻撃者がエンティティの長さを決定した場合&x; 5万5000文字で、DoS要素内でこのエンティティを5万5千回参照すると、パーサーは、サイズが200 KBを超えるXML Quadratic Blowup攻撃負荷に直面します。これは、解析時に2.5 GBに拡大します。 この拡張機能は、解析プロセスを強制終了するのに十分です。
PHPでは、デフォルトのメモリ割り当て制限はプロセスごとに128 MBです。つまり、理論的には、XML爆弾で128 MBの制限を超えることはできません。 ただし、Apache Webサーバーでは、「Max Clients」パラメーターはデフォルトで256であり、MySQLデータベースでは、「Max Connections」パラメーターはデフォルトで151に設定されます。これらの接続を互いに乗算すると(128x151)、19328 MBになります-これは使用可能なすべてのメモリを消費します。
サーバーを攻撃するには、攻撃者は被害者のサーバーで利用可能なメモリの制限を判断する必要があります。 攻撃がPHPの制限を超えると、サーバーは超過を拒否し、攻撃が失敗します。 ただし、結果として攻撃が成功すると、入力された負荷が返され、システムが配置されます。