Warnung! 0day-exploit in WP-erweiterung TimThumb

Nachtrag: „TimThumb“ ist gefixt. Also los, setzt in der konfigurazjon WEBSHOT_ENABLED auf false und holt euch die aktuelle versjon!

Benutzt noch jemand da draußen „TimThumb“ — trotz seiner mittlerweile beachtlichen geschichte größerer sicherheitsprobleme? Wenn ja: sofort raus mit dem scheißteil! Das ding ermöglicht — mindestens dann, wenn man auch „WebShots“ in der konfigurazjon freigeschaltet hat — die ausführung beliebiger befehle mit den berechtigungen des websörvers. Und zwar auf kinderleichte weise. Und ebenfalls betroffen könnten — ich sage das jetzt aus dem bauch heraus — folgende erweiterungen sein, die zum teil den gleichen kohd wie „TimThumb“ nutzen: „WordThumb“, „WordPress Gallery Plugin“ und „IGIT Posts Slider“. Im zweifelsfall lieber erstmal abschalten, bis klar ist, dass die dinger unbedenklich sind oder bis gefixt wurde.

Die tolle kryptoidee des tages

keybase.io: ein ganz toller kryptodienst, der unter anderem das funkzjonsmerkmal anbietet, seinen privaten schlüssel hochzuladen. Aber keine sorge, das ist nicht nötig und die raten davon ab, weil, müsst ihr verstehen, ein nicht ganz so sicheres system hat ja mehr potenzjal, beliebter zu werden… und hej, dass eine künstliche zentralisierung an sich bereits ein problem ist, drauf geschissen, hauptsache, es gibt wenigstens gefühlte privatsfäre.

Äppel des tages

Wenn äppel sein eitjuhns auf windohs installiert, werden pfade mit leerzeichen in der windohs-registrierungsdatenbank nicht mit anführungszeichen umgeben. Wenn es einem angreifer gelingt, auf irgendeinem wege ein programm namens C:\program.exe abzulegen, wird dieses beim anklicken eines für eitjuhns registrierten dateityps anstelle von eitjuhns ausgeführt.

Und ich dachte immer, mäck-OS sei unixoid. Da sollten die bei äppel doch mal gelernt haben, anführungszeichen zu setzen… oder schreiben die für ihr betrübssystem gar keine skripten mehr? :mrgreen:

Router des tages

Alle asus RT-AC68U (nein, das sind keine pfennig-billigkisten) sind anfällig für einen XSS-angriff in der web-benutzerschnittstelle. Ein übergebener parameter wird ungefilter auf die seiten übernommen und ermöglicht so das einschleusen beliebigen kohds. Und als ob das nicht schlimm genug wäre, kann man den dingern auch beliebigen kohd zum ausführen unterjubeln; ein fehler, den asus jetzt schon fast einen monat lang kennt und nicht behandelt.