Für diejenigen, die nicht wissen, was TimThumb ist, ist es ein berühmtes PHP-Skript, dessen Hauptfunktion darin besteht, die Größe von Bildern dynamisch zu ändern. Es stellte sich heraus, dass gestern in TimThumb 2.8.13 eine neue Sicherheitslücke angekündigt wurde, die eine Vielzahl von Websites gefährden könnte . Das Problem ist, dass es sich um ein weit verbreitetes Skript handelt und wir es in vielen WordPress-Themes finden. Überprüfen Sie daher, ob Ihr Theme es verwendet, und befolgen Sie in diesem Fall die von uns angegebenen Schritte.
Es ist nicht das erste Mal, dass wir einen Fehler in TimThumb sehen. Vor einigen Jahren wurden mehrere entdeckt, und viele von ihnen führten dazu, dass viele Webseiten kompromittiert wurden. Seitdem haben viele Entwickler beschlossen, es nicht mehr zu verwenden, aber einige verwenden es immer noch in ihren Designs.
Schwachstellenanalyse in TimThumb 2.8.13
Diese Version von TimbThumb enthält eine Funktion namens “webshot”, in der die Sicherheitsanfälligkeit gefunden wird. Die gute Nachricht ist, dass diese Funktion standardmäßig deaktiviert ist. Sie müssen jedoch sicherstellen, dass der Theme-Entwickler sie nicht aktiviert hat.
Als Erstes müssen Sie die TimThumb-Datei im Themenordner suchen. Diese Datei hat standardmäßig den Namen timthumb.php obwohl der Entwickler die Datei thumb.php in thumb.php oder ähnliches umbenannt hat.
Nach dem WEBSHOT_ENABLED müssen wir nach WEBSHOT_ENABLED suchen und WEBSHOT_ENABLED , dass die Funktion deaktiviert ist (siehe folgende Zeile):
define (‘WEBSHOT_ENABLED’, false);
Wenn wir sehen, dass unser Theme die Funktion mit “true” aktiviert hat, müssen wir es sofort bearbeiten und auf “false” setzen .
Seien Sie auch mit den Plugins vorsichtig, da einige dieses Skript verwenden, so dass es sich lohnt, es auszuprobieren (einige Plugins, die TimThumb verwenden, sind: WordPress Gallery Plugin oder IGIT Posts Slider Widget ).
Nach dem, was ich überprüfen konnte, haben sie Version 2.8.14 von TimThumb veröffentlicht, die diese Sicherheitsanfälligkeit behebt. Das Aktualisieren auf diese Version schützt uns also auch dann, wenn die Option „Webshot“ aktiviert ist. Die aktualisierte Version finden Sie unter: http://timthumb.googlecode.com/svn/trunk/timthumb.php (existiert nicht mehr) .
Diese neue Sicherheitsanfälligkeit von TimThumb ist ein Zero-Day-Bug, sodass Hacker aktiv nach anfälligen Websites suchen. Aus diesem Grund wird empfohlen, die angegebenen Schritte so schnell wie möglich auszuführen , um Probleme zu vermeiden.