WordPress Sicherheitslücke im Timthumb-Script
Kommentare

Wie Blogger Mark Maunder berichtet, existiert in der Wordpress-Erweiterung Timthumb eine Sicherheitslücke, mit der Angreifer die Kontrolle über den Webserver übernehmen können. Timthumb ist ein quelloffenes

Wie Blogger Mark Maunder berichtet, existiert in der WordPress-Erweiterung Timthumb eine Sicherheitslücke, mit der Angreifer die Kontrolle über den Webserver übernehmen können. Timthumb ist ein quelloffenes PHP-Script zur Skalierung von Grafiken, das von vielen WordPress Themes verwendet wird. Mauder legt nahe, die Datei „rm timthumb.php“ zu löschen und damit die Fähigkeit von Timthumb zu unterbinden, Grafiken von externen Seiten zu laden.

Per Default liefert Timthumb Bilder der in der Whitelist festgelegten Domains aus, ohne allerdings zu überprüfen, an welcher Stelle in der URL die entsprechende Domain steht.

$allowedSites = array (
	'flickr.com',
	'picasa.com',
	'blogger.com',
	'wordpress.com',
	'img.youtube.com',
	'upload.wikimedia.org',
	'photobucket.com',
);  

Da die meisten Bloggger Timthumb nur verwenden, um lokal existierende Bilder zu skalieren, hat Mauder ein entsprechende Workaround gepostet, um das Problem zu fixen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -