WordPress の XML-RPC 機能の実装に起因する DoS の脆弱性(Scan Tech Report)
WordPress の XML-RPC 機能にサービス運用妨害 (DoS) が発生する脆弱性が報告されています。
脆弱性と脅威
WordPress の XML-RPC 機能にサービス運用妨害 (DoS) が発生する脆弱性が報告されています。
悪意あるリモートの第三者に利用された場合、CPU リソースやシステムメモリを大量消費させ、システムの正常な動作が妨害される可能性があります。
脆弱性を悪用された場合の影響度が高いため、影響を受けるバージョンの WordPress を利用するユーザは可能な限り以下の対策を実施することを推奨します。
2.深刻度(CVSS)
5.0
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-5265&vector=%28AV:N/AC:L/Au:N/C:N/I:N/A:P%29
3.影響を受けるソフトウェア
WordPress 1.5 - 3.7.3/3.8.3/3.9.1
※1 Drupal 6.x/7.x もこの脆弱性の影響を受けることが報告されています。
詳細につきましては、関連情報の SA-CORE-2014-004 を参照ください。
4.解説
XML-RPC は、XML を利用して Remote Procedure Call (RPC) 実行するためのプロトコルであり、SOAP の基となった技術です。
WordPress では、XML-RPC をサポート※2 しており、XML-RPC 機能により外部からの記事投稿や編集、Pingback などが可能となります。XML-RPC 機能は、Wordpress 3.5 以降のバージョンより、既定で有効になっています。
WordPress には、Incutio XML-RPC ライブラリ (class-IXR.php)※3 におけるXML データの処理に不備があります。
このため、実体宣言の中で過度に長い文字列を定義した実体を繰り返し参照 (実体参照) する不正な XML データを処理した場合に、CPU リソースおよびシステムメモリを大量に消費してしまう脆弱性が存在します。
この脆弱性を利用することで、リモートの攻撃者は、上記 XML データを含むXML-RPC リクエストを介して WordPress を利用するシステムのパフォーマンスを低下させ、システムをサービス不能状態にする可能性があります。
また、WordPress の XML-RPC 機能には、2014 年 3 月に Pingback を悪用した大規模な DDoS 攻撃が Sucuri 社から報告※4 されています。
この問題は、正規の機能を悪用しているため、セキュリティアップデートだけでは防ぐことができなく、Pingback 機能の無効化やアクセス制限などの対応が必要となります。
※2 http://codex.wordpress.org/XML-RPC_Support
※3 http://scripts.incutio.com/xmlrpc/
※4 http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html
5.対策
以下の Web サイトより WordPress 3.7.4/3.8.4/3.9.2 以降を入手し、該当のバージョンにアップデートすることで、この脆弱性を解消することが可能です。
WordPress 3.7.4/3.8.4/3.9.2:
http://wordpress.org/download/release-archive/
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
関連リンク
編集部おすすめの記事
特集
株式会社ラック(LAC)
-
TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)
2024 年 3 月に公開された、JetBrains 社の TeamCitry の脆弱性…
-
Windows 版 GlobalProtect App における権限昇格につながる任意のファイル削除の脆弱性(Scan Tech Report)
-
FileCatalyst Workflow における任意のコード実行につながるパストラバーサルの脆弱性(Scan Tech Report)
-
2023年にネットバンキングの不正送金が急増した理由
-
Nagios XI の monitoringwizard.php における SQL Injection の脆弱性(Scan Tech Report)
-
ラックが2024年3月期 通期決算を公表、売上高は前期比12.4%増
-
runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
Scan Tech Report
-
TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)
2024 年 3 月に公開された、JetBrains 社の TeamCitry の脆弱性…
-
Windows 版 GlobalProtect App における権限昇格につながる任意のファイル削除の脆弱性(Scan Tech Report)
-
FileCatalyst Workflow における任意のコード実行につながるパストラバーサルの脆弱性(Scan Tech Report)
-
Nagios XI の monitoringwizard.php における SQL Injection の脆弱性(Scan Tech Report)
-
runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
-
Cacti における遠隔コード実行につながる複数の脆弱性(Scan Tech Report)
-
Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)
Scan PREMIUM 倶楽部
-
レッドチーム演習大成功 丸五か月間誰も気づけず
CISA は、これを「SILENTSHIELD 評価」と呼んでいる。CISA の…
-
今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか
-
ランサムウェア集団が謝罪
-
TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)
-
裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]
-
開発元にソフトウェアの製造責任を負わせるのは合理的?
-
支払額倍増の場合も ~ オラクルが Fortune 200 へ Java ライセンスに関する監査書送付を開始
-
被告:CISO ~ 実例で考える CISO が訴訟されるリスク
WordPress
-
WordPressコアに複数の脆弱性、XSSほか中程度の脅威
Cross&Crown合同会社は10月13日、WordPressコアの複数の…
-
WordPress の File Manager Advanced Shortcode における任意のファイルがアップロード可能となる脆弱性(Scan Tech Report)
-
ImageMagick EngineプラグインにCSRFの脆弱性
-
WordPressのセキュリティ未実施の経営者の44.8%が「意識したことがない」と回答
-
WordPress のセキュリティトラブル ワースト5
-
WordPressの脆弱性突きサイト改ざん、レンタルサーバがWPの最新バージョンに適応できず
-
WordPressを対象とした攻撃が全体の半数、「FileManager」の脆弱性悪用が目立つ
-
さくらインターネット、問い合わせフォームを悪用する攻撃に注意喚起
脆弱性と脅威 アクセスランキング
-
Assimp にヒープベースのバッファオーバーフローの脆弱性
-
「アダルトサイトを閲覧している姿を撮影した」脅迫メールの報告が急増(IPA)
-
スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題
-
「ポケモンセンターオンライン」を装ったフィッシングサイトに注意喚起(ポケモンセンター)
-
NETGEAR 製ルータにバッファオーバーフローの脆弱性
-
JPCERT/CC、仮想通貨マイニングツールのXMRigの設置を狙った攻撃を順序立てて詳説~対策マニュアルとしても有効
-
PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも
-
Apache HTTP Server 2.4 に複数の脆弱性
-
メルカリがフィッシング詐欺に注意喚起、アプリの利用など推奨
-
「GROWI」にWebブラウザ上で任意のスクリプトを実行される複数の脆弱性(JVN)