WordPress 4.9.4以下にDoS攻撃に対する脆弱性

毎度毎度、WordPressには脆弱性が発見されるので、「またか」と思われるかもしれませんが、まあ黙ってアップデートしろ、という感じです。(※今回発見されたこの脆弱性に関しましては、アップデートで修正されません。詳細についてはこちら

JVNがWordPressへの脆弱性を報告しています。

WordPress におけるサービス運用妨害 (DoS) の脆弱性
概要

WordPress には、サービス運用妨害 (リソース消費) 状態にされる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃に必要な特権レベル: 不要
利用者の関与: 不要
影響の想定範囲: 変更なし
機密性への影響(C): なし
完全性への影響(I): なし
可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃前の認証要否: 不要
機密性への影響(C): なし
完全性への影響(I): なし
可用性への影響(A): 部分的

DoS攻撃、というのは要するにサーバーに色々と送りつけて、サーバをダウンさせる、と言う攻撃なのです。

 

これにはいろいろな亜流がありまして、私が先日見た中で面白かったのは、TwitterクライアントへのDoS攻撃の話です。

あまりにムカつくTweetを見たため、あるハッカーが、Tweet主のアカウントに大量(数千通)のダイレクトメッセージを送りつけるプログラムを書き、主にメッセージを送りつけました。

結果、Tweet主は、クライアントを立ち上げた瞬間、大量のダイレクトメッセージがダウンロードされ、スマホが処理しきれず、クライアントが落ちてTwitterが使えなくなる、という仕組みだそうです。

 

まあ、そんな余談はさておき、WordPressのアップデート、毎度怖いですよね。

プラグインも大量に使っていたり、カスタマイズを入れていると、アップデートもおちおちできません。

そういうサイトにしたお前が悪い、と言われればそれまでなのですが、なんとかならないもんでしょうか。

 

LINEで送る
Pocket

こんな記事も読まれています