Ho appena ricevuto un alert per un nuovo worm che si sta diffondendo e che attacca web server su cui girano versioni vulnerabili di XML-RPC per PHP.
Tutte le versioni di XML-RPC per PHP precedenti alla 1.1.1 sono vulnerabili.
XML-RPC per PHP è usato in moltissime applicazioni web, come:
– AWStats
– PHPGroupWare
– phpMyFAQ
– PostNuke
– PHPWiki
– TikiWiki
– WordPress
Trovato una descrizione dettagliata della vulnerabilità in questo articolo del SANS – Internet Storm Center, mentre una lista delle applicazioni (e delle distribuzioni Linux vulnerabili) è disponibile in questo articolo di SecurityFocus.
La vulnerabilità è molto seria, ed il server “infetto” diventa automaticamente veicolo di diffusione del worm, oltre a consentire accesso da remoto.
Ovviamente è raccomandato l’upgrade immediato di tutte le applicazioni/distribuzioni vulnerabili appena le patch saranno disponibili.
La vulnerabilità tocca da vicino i blogger, perchè tutte le versioni di WordPress fino alla 1.5.1.2 sono vulnerabili.
Gli utenti di WordPress possono (e DEVONO) aggiornare alla versione 1.5.2, seguendo le istruzioni disponibili qui.