Stigmahost - web hosting company

TimThumb – Κενό ασφαλείας σε πολλά WordPress Themes



Ένα κενό ασφαλείας που αφορά πάρα πολλά WordPress themes (εμπορικά & free) ανακάλυψε ο Mark Maunder. Το αρχείο TimThumb.php που κανονικά χρησιμοποιείται για να κάνει resize τις εικόνες στα άρθρα, επιτρέπει να ανεβάσει κάποιος αρχεία php μέσα στον φάκελο cache του timthumb που να περιέχουν κακόβουλο κώδικα (π.χ. php shell) το οποίο μπορεί να εκμεταλλευτεί κάποιος και να έχει πρόσβαση στα αρχεία της ιστοσελίδας σας.

Οι ενέργειες που πρέπει να ακολουθήσετε για να  ασφαλίσετε το site σας είναι οι εξής:

  • Διαγράφετε όσα themes δεν χρησιμοποιείτε μέσα απο backend του WordPress
  • Κατεβάζετε το security patch του theme ή την ενημερωμένη έκδοση του αν αυτή είναι διαθέσιμη από το site του εκάστοτε themeclub (οι περισσότερες γνωστές εταιρίες έχουν ήδη ενημερώσει τα theme τους)
  • Αν δεν υπάρχει ενημερωμένο theme τότε θα πρέπει να ενημερώσετε εσείς με την τελευταία έκδοση του timthimb.php 1.34 αν το χρησιμοποιεί το theme σας.
  • Πέρα από την ενημέρωση του TimThumb.php καλό θα ήταν επίσης να κάνετε αναζήτηση με έναν text editor για ALLOW_EXTERNAL
    Aν βρείτε την παρακάτω γραμμή

    define ('ALLOW_EXTERNAL', TRUE);
    αλλάξτε τη σε
    define ('ALLOW_EXTERNAL', FALSE);
    Περισσότερες πληροφορίες:
  • Μark Maunder blog
  • TimThumb

Κατηγορίες Ασφάλεια | Από τον imagine

2 Σχόλια

Κανάλι σχολίων

vasilis

29 Αυγούστου 2011 | 00:25 | Σχόλιο |

TimThumb.php σε ποιον φακελο να το βαλω?


MakeWeb.gr

30 Σεπτεμβρίου 2011 | 13:23 | Σχόλιο |

Υπάρχουν πολλά plugins που χρησιμοποιούν το TimThumb.php. Τον τελευταίο μήνα δέχτηκα πολλά requests (τα οποία ήταν 404 error) της μορφής /wp-content/plugins/—plugn-name—/timthumb.php

Κοινώς, φυλαχτείτε και αποφύγετε τα «κακόφημα» plugins!



Ετικέτες που επιτρέπονται: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 

^
Top
CSS Design Awards