Milion ofiar małej dziury – tak można podsumować co ostatnio stało się w sieci. Bardzo popularny skrypt PHP do przeskalowywania zdjęć, często implementowany w rozwiązaniach opartych na WordPressie zaliczył sporą wpadkę bezpieczeństwa. Właśnie przeczytałem, że do dnia dzisiejszego ponad milion stron została przez to zaatakowana. Nawet mi samemu zdarzyło się realizować zlecenie na usunięcie pogromu jaki uczynili włamywacze.
Myślę, że to jest dobry moment, aby przenieść tutaj kolejny mój wpis zamieszczony gdzie indziej. Tak oto z wpzlecenia.pl na dev.wpzlecenia.pl trafia mój opis jak diagnozować czy także i my jesteśmy zagrożeni tym błędem. Wszystko co poniżej pochodzi z poprzedniej lokalizacji i było pisane 20 września 2011.
Zatrzymaj się dłuższą chwilę na tym wpisie, bowiem jest spore ryzyko, że strona jaką wykonałeś w WordPressie (dla siebie lub dla swojego klienta) jest dziurawa. Co więcej, dziura ta jest obecnie bardzo silnie eksploatowana przez przeróżnych crackerów i jest tylko kwestią czasu, kiedy i twoja witryna przestanie działać lub ulegnie innemu nadużyciu.
TimThumb to bardzo popularny skrypt do przeskalowywania obrazków. Przez swoją popularność i łatwość użycia oraz fakt, że można go wykorzystywać za darmo, wielu twórców skórek i pluginów dołączyło go do swoich paczek instalacyjnych.
Niestety mniej więcej 2 miesiące temu w skrypcie została wykryta dziura, pozwalająca na zdalne wykonanie dowolnego polecenia na naszym serwerze. Jeśli więc gdzieś w twoim WordPressie jest TimThumb, każdy będzie mógł wykorzystać twoją stronę do rozsyłania spamu, umieszczenia na niej linków prowadzących do podejrzanych witryn lub zrobić cokolwiek innego. W tym i skasować całą witrynę.
Co jeszcze gorsze, wielu twórców skórek i pluginów, którzy użyli TimThumb nadal nie spieszą się z aktualizacją swojego kodu. Dlatego powinieneś sam zastanowić się czy problem ciebie nie dotyczy, i jeśli tak – zająć się aktualizacją.
Czy problem cię dotyczy?
Jeśli spełniasz co najmniej jeden z poniższych warunków, jesteś zagrożony:
- sam tworząc swoją stronę w pewnym momencie użyłeś timthumb.php
- użyłeś skórki, która wykorzystuje wbudowany w nią timthumb (np bardzo popularna skórka Arras wciąż nie doczekała się nowszej wersji tego skryptu)
- użyłeś wtyczki, która używa powyższy skrypt; najczęściej są to wtyczki operujące na grafice, na tę chwilę wiadomo, że błąd posiadają takie wtyczki jak:
- Category Grid View Gallery,
- Auto Attachments,
- WP Marketplace,
- DP Thumbnail WordPress,
- Vk Gallery,
- Rekt Slideshow,
- CAC Featured Content,
- Rent A Car,
- LISL Last Image Slider,
- Islidex,
- Kino Gallery,
- Cms Pack,
- A Gallery,
- Category List Portfolio Page,
- Really Easy Slider,
- Verve Meta Boxes,
- User Avatar,
- Extend WordPress – uwaga: lista ta nie jest zamknięta
- zastąp wszystkie posiadane pliki timthumb.php najnowszą wersją pobraną z tego adresu
- na wszelki wypadek usuń wszystkie pliki stworzone przez ten skrypt. Najczęściej znajdują się one obok samego skryptu w podkatalogu „/cache” lub rzadziej „/timthumb”.
Komentarze
3 odpowiedzi na „Sprawdź, czy luka w TimThumb nie zagraża twojemu WordPressowi”
[…] Wpis został przeniesiony w nową lokalizację i znajdziecie go tutaj. […]
Dodaj do listy koniecznie wtyczkę vSlider.
My również polegliśmy przez właśnie tę lukę – lukę w małym skrypcie o dużej wadze.