Sprawdź, czy luka w TimThumb nie zagraża twojemu WordPressowi

Milion ofiar małej dziury – tak można podsumować co ostatnio stało się w sieci. Bardzo popularny skrypt PHP do przeskalowywania zdjęć, często implementowany w rozwiązaniach opartych na WordPressie zaliczył sporą wpadkę bezpieczeństwa. Właśnie przeczytałem, że do dnia dzisiejszego ponad milion stron została przez to zaatakowana. Nawet mi samemu zdarzyło się realizować zlecenie na usunięcie pogromu jaki uczynili włamywacze.

Myślę, że to jest dobry moment, aby przenieść tutaj kolejny mój wpis zamieszczony gdzie indziej. Tak oto z wpzlecenia.pl na dev.wpzlecenia.pl trafia mój opis jak diagnozować czy także i my jesteśmy zagrożeni tym błędem. Wszystko co poniżej pochodzi z poprzedniej lokalizacji i było pisane 20 września 2011.


Zatrzymaj się dłuższą chwilę na tym wpisie, bowiem jest spore ryzyko, że strona jaką wykonałeś w WordPressie (dla siebie lub dla swojego klienta) jest dziurawa. Co więcej, dziura ta jest obecnie bardzo silnie eksploatowana przez przeróżnych crackerów i jest tylko kwestią czasu, kiedy i twoja witryna przestanie działać lub ulegnie innemu nadużyciu.

TimThumb to bardzo popularny skrypt do przeskalowywania obrazków. Przez swoją popularność i łatwość użycia oraz fakt, że można go wykorzystywać za darmo, wielu twórców skórek i pluginów dołączyło go do swoich paczek instalacyjnych.

Niestety mniej więcej 2 miesiące temu w skrypcie została wykryta dziura, pozwalająca na zdalne wykonanie dowolnego polecenia na naszym serwerze. Jeśli więc gdzieś w twoim WordPressie jest TimThumb, każdy będzie mógł wykorzystać twoją stronę do rozsyłania spamu, umieszczenia na niej linków prowadzących do podejrzanych witryn lub zrobić cokolwiek innego. W tym i skasować całą witrynę.

Co jeszcze gorsze, wielu twórców skórek i pluginów, którzy użyli TimThumb nadal nie spieszą się z aktualizacją swojego kodu. Dlatego powinieneś sam zastanowić się czy problem ciebie nie dotyczy, i jeśli tak – zająć się aktualizacją.

Czy problem cię dotyczy?

Jeśli spełniasz co najmniej jeden z poniższych warunków, jesteś zagrożony:

  • sam tworząc swoją stronę w pewnym momencie użyłeś timthumb.php
  • użyłeś skórki, która wykorzystuje wbudowany w nią timthumb (np bardzo popularna skórka Arras wciąż nie doczekała się nowszej wersji tego skryptu)
  • użyłeś wtyczki, która używa powyższy skrypt; najczęściej są to wtyczki operujące na grafice, na tę chwilę wiadomo, że błąd posiadają takie wtyczki jak:
    • Category Grid View Gallery,
    • Auto Attachments,
    • WP Marketplace,
    • DP Thumbnail WordPress,
    • Vk Gallery,
    • Rekt Slideshow,
    • CAC Featured Content,
    • Rent A Car,
    • LISL Last Image Slider,
    • Islidex,
    • Kino Gallery,
    • Cms Pack,
    • A Gallery,
    • Category List Portfolio Page,
    • Really Easy Slider,
    • Verve Meta Boxes,
    • User Avatar,
    • Extend WordPress – uwaga: lista ta nie jest zamknięta
Jak naprawić błąd?
Naprawa jest na szczęście do dość prosta (chyba, że już zostałeś zaatakowany, wtedy twojej stronie należy się całkiem porządny audyt bezpieczeństwa, który możesz zlecić na wpZleceniach):
  • zastąp wszystkie posiadane pliki timthumb.php najnowszą wersją pobraną z tego adresu
  • na wszelki wypadek usuń wszystkie pliki stworzone przez ten skrypt. Najczęściej znajdują się one obok samego skryptu w podkatalogu „/cache” lub rzadziej „/timthumb”.
Zadbaj o swoich klientów
Po wszystkim przejrzyj portfolio stron nad którymi pracowałeś i zastanów się czy nie zdarzyło ci się u nich użyć TimThumba. Jeśli tak, zgłoś się do nich i napraw to. Nie ryzykuj zachowania „lepiej będę siedział cicho, może ich stronę włamanie ominie”. Ja sam przyznam się, że użyłem TimThumb na stronie  jednego z klientów, z którym już od dawna nie mam kontaktu. Jednak gdy zgłosiłem się informując o problemie i oferując naprawienie go, otrzymałem wiele ciepłych słów. Klient był pozytywnie zaskoczony, że mimo upływu czasu wciąż dbam o jego stronę.

Opublikowano

w

, ,

przez

Komentarze

3 odpowiedzi na „Sprawdź, czy luka w TimThumb nie zagraża twojemu WordPressowi”

  1. […] Wpis został przeniesiony w nową lokalizację i znajdziecie go tutaj. […]

  2. Awatar Jakub Milczarek

    Dodaj do listy koniecznie wtyczkę vSlider.

  3. Awatar Biznesik

    My również polegliśmy przez właśnie tę lukę – lukę w małym skrypcie o dużej wadze.