Sicherheitslücke in vielen WordPress-Themes

Es gibt vieles Themes und Plugins, darunter auch Premium-Themes z.B. von StudioPress oder Elegant Themes welche das PHP-Script timthumb benutzen, um z.B. Vorschaubilder zu erzeugen oder Bilder zuzuschneiden.
Dieses Script enthält aber eine schwerwiegende Sicherheitslücke welche praktisch kompletten Zugriff auf das ganze Blog bietet.
Jeder sollte also überprüfen, ob von ihm verwendete Themes oder Plugins die Datei timthumb.php mitbringen. Falls ja, sollte man diese Datei unbedingt erst einmal löschen, bis eine korrigierte Version von timthumb verfügbar ist.
Ebenso sollte der Blog auf Hacks geprüft werden (z.B. vorher nicht da gewesene base64-Codes.

Eine aktualisierte Version (1.34) der Datei timthumb.php ist wohl bereits verfügbar. Zum Download der Datei. Wir empfehlen den Austausch der alten timthumb.php auf eurem Server (falls vorhanden) mit dieser neuen Version.

Es gibt eine (nicht vollständige!) Liste mit Themes, welche timthumb benutzen.

via WordPress-Blog Deutschland

Auch das Frostmann-Blog war davon betroffen. Mich wurmt, daß das ein Skript betrifft, das ich gar nicht benötige. Das Theme hier kann nämlich noch so einiges mehr, was ich gar nicht einsetze, weil mir das alles zu klickibunti ist. Jetzt wurde die betroffene Stelle im Code einfach mal lahmgelegt und die gefährdete Datei gelöscht.
Im wesentlichen ging es darum, daß man mit einem kleinen Code-Schnipsel hier ins Weblog auch ganze Flickr- und Picasa-Galerien einbinden könnte. Aufgrund der Sicherheitslücke war es aber möglich, daß Böswillige dem Blog vortäuschten, irgendwas von Flickr oder Picasa zu sein und dann ins System eindringen konnten.
Hier ist nichts passiert, keiner hat es geschafft, die anderen Sicherheitsmechanismen zu überwinden. Aber ich frage mich, was die Leute davon haben, ständig auf der Suche nach solchen Schwachstellen zu sein, um dann wildfremden Menschen Schaden zuzufügen.
Kranke Hirne, alles kranke Hirne!

1 Kommentar » Schreibe einen Kommentar

Lies bitte vor dem Kommentieren meine Kommentar-Spielregeln.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Unterstütze mich bitte durch Dein Like!schliessen
oeffnen