Warnung! 0day-exploit in WP-erweiterung TimThumb

Nachtrag: „TimThumb“ ist gefixt. Also los, setzt in der konfigurazjon WEBSHOT_ENABLED auf false und holt euch die aktuelle versjon!

Benutzt noch jemand da draußen „TimThumb“ — trotz seiner mittlerweile beachtlichen geschichte größerer sicherheitsprobleme? Wenn ja: sofort raus mit dem scheißteil! Das ding ermöglicht — mindestens dann, wenn man auch „WebShots“ in der konfigurazjon freigeschaltet hat — die ausführung beliebiger befehle mit den berechtigungen des websörvers. Und zwar auf kinderleichte weise. Und ebenfalls betroffen könnten — ich sage das jetzt aus dem bauch heraus — folgende erweiterungen sein, die zum teil den gleichen kohd wie „TimThumb“ nutzen: „WordThumb“, „WordPress Gallery Plugin“ und „IGIT Posts Slider“. Im zweifelsfall lieber erstmal abschalten, bis klar ist, dass die dinger unbedenklich sind oder bis gefixt wurde.

3 Antworten zu “Warnung! 0day-exploit in WP-erweiterung TimThumb

    • Wer so blöd ist, seinem Webserver zu viele Rechte einzuräumen

      Dem würde ich wirklich gern zustimmen… aber ich habs schon mehr als einmal gesehen, dass eine komplette WP-installazjon mit den rechten des websövers schreibbar war. Das ist natürlich ein fest für jeden, der darauf stößt. Und ansonsten hab ichs — außer bei mir selbst — noch nie bei irgendjemanden gesehen, dass ins schreibbare verzeichnis wp-content eine .htaccess gelegt wird, die das ausführen von dort rumliegenden PHP-kohd unterbindet. Der schutz vorm hochladen durch WP nützt nur wenig, wenn man dort schnell ein kleines skriptchen auf anderem wege hinbekommt. Aber mir sagen die leute ja auch immer, ich wäre paranoid. Dabei bin ich nur ein bissjen verspielt… 😉

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.