Sonntag, 7. August 2011

Achtung Wordpress-User: Sicherheitslücke in timthumb.php

Einer Meldung von themelab.com vom 2. August entnehme ich eine Sicherheitslücke im Modul timthumb, das in vielen Themes mit dabei ist:TimThumb Security Vulnerability – Common in WordPress Themes

TimThumb, ist ein resizing-Script, das in Wordpress-themes (vor allem in kostenpflichtigen Themes) verwendet wird. Wordpressuser sollten auf jedem ihrer Blogs überprüfen, ob dieses Skript installiert ist. Dabei sollte man auch nicht benutzte Themes durchsuchen, die auf dem Server lagern.

Als Quick Fix empfiehlt der Autor:
  • The easiest way to fix it would be to delete any instance of timthumb.php on your sites. It is also commonly named thumb.php (this is what WooThemes uses).
Gemäß einer Blog-Meldung von Mark Maunder wäre der nächstbeste "Fix", den array in  “Allowed Sites” zu leeren:

Vorher:
$allowedSites = array (
 'flickr.com',
 'picasa.com',
 'img.youtube.com',
 'upload.wikimedia.org',
);
 
Ändere in:
 
$allowedSites = array();

Außerdem muss man folgende Konstante auf "FALSE" setzen, sonst wirkt obige Änderung nicht:

define( 'ALLOW_EXTERNAL', false );

Wo ist der Witz?

Von flickr und wikipedia selbst gehen zwar keine Gefahren aus, aber das Skript würde auch akzeptieren:  flickr.com.lamehackersite.info genauso wie flickr.com.

Theme Provider, die TimThumb benutzen

Einige Wordpress Theme-Programmierer haben TimThumb in ihr Theme eingebunden, um die Bilder zu reduzieren; insbesondere WooThemes und ElegantThemes, zwei sehr populäre kommerzielle Theme-Verkäufer, die jede Menge von entsprechenden Skripts mit TimThumb-Integration anbieten.



Some WordPress theme providers that bundle TimThumb in their themes to resize images include WooThemes and ElegantThemes, two very popular commercial theme vendors that have tons of sites using themes with the vulnerable TimThumb script. Außerdem haben auf vielen Portalen (z.B. ThemeForest) zahlreiche Autoren wiederum zahlreiche Themes mit TimThumb-Benutzung eingestellt, die jetzt verbreitet im Einsatz sind.
"Theme Lab Themes" gibt an, dass drei ihrer Themes betroffen sind, die TimThumb benutzen. Diese Themes erhielten sofort ein Sicherheitsupdate (mit "allowed sites" korrigiert).
  • If you use any of these themes, please update the /scripts/timthumb.php file ASAP. This advice can also apply to any other theme that uses the timthumb script, obviously.
Eine Alternative zu TimThumb: add_image_size

Der Autor weist auf eine viel bessere Möglichkeit hin, wie man Bilder "resizen" kann. Darum sind auch nur drei Themes negativ betroffen, bei den anderen hat der Programmierer die alternative Methode benutzt, und er empfiehlt:

Benutzt add_image_size !

WordPress habe eine großartige, eingebaute API um Bilder in der Größe zu verkleinern, mit der man effiktiv die Funktionen von TimThumb ersetzen kann. Es heiße  add_image_size.

Es wird z.B. auf folgenden themelab-Themes verwendet: Green Tea, Cool Blue, or SongSpace (alle kostenlos).

  © Blogger template 'Fly Away' by Ourblogtemplates.com 2008

Back to TOP