<< Apr 2014 >>
MDMDFSS
31 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 1 2 3 4

21. November 2011 – Timthumb.php vulnerability

Der Antivirenhersteller Avast hat im September über 2.500 infizierte Sites blockiert und rechnete im Oktober mit ähnlichen Zahlen. Angreifer installieren seinen Berichten nach das professionelle Exploit-Framework BlackHole auf den Servern. Das Framework versucht die Besucher des WordPress-Blogs künftig mit Schadcode zu infizieren, indem es verschiedene Sicherheitslücken im Webbrowser und den installierten Plugins durchprobiert. Dabei kann man sich als Blogbetreiber sehr leicht dagegen schützen.

Das Script TimThumb ist ein Bestandteil vieler WordPress-Themes, was viele Admins leider gar nicht wissen, weil sie es nicht selbst als Plugin installiert haben. Daher gibt eine lange Liste betroffener WP-Themes, die TimThumb verwenden. Desweiteren gibt es PlugIns, die Content in das Template einspielen und dabei TimThumb verwenden. Die einfachste Lösung für den Sicherheitscheck ist ein kompletter Blog-Scann. Machbar mit dem PlugIn “Timthumb Vulnerability Scanner”.


PlugIn

HINWEIS:

Entgegen der Herstellerangabe, das PlugIn Timthumb Vulnerability Scanner würde die WordPress-Version 3.0.x voraussetzen, läuft die Scanner-Version 1.4.3 auch mit WordPress-Blogs ab 2.9.x fehlerfrei durch und fixed fehlerhafte Dateien auf TimThumb-Version 2.0.

GD Star Rating
loading...
GD Star Rating
loading...
Kommentar verfassen


RSS Verzeichnis Blog-Feed.deBlogverzeichnisTopOfBlogsBlog Verzeichnis