Sicherheit

Gefährliche Lücke in Wordpress-Plug-in

Eine Lücke im weit verbreiteten Wordpress-Plugin Timthumb ermöglicht es, Inhalte in Wordpress-Blogs zu verändern. Außerdem kann über eine Remote Shell der hostende Server kompromitiert werden.

image.jpg

© Stephan Lamprecht, Daniela Schrank

Internet Magazin

Das Wordpress-Plug-in Timthumb findet in vielen Wordpress-Themes Verwendung. Es erlaubt die  Größenänderung von Bildern und die Erstellung von Thumbnails. Der Blogger Mark Maunder, dessen Blog durch diese Lücke ebenfalls gehacked wurde, berichtet ausführlich über das Problem. Seinem Blog wurde über die Remote Shell "Alucar Shell" Werbung hinzugefügt.

Das Problem in dem PHP-Script Timthumb entsteht dadurch, dass es erlaubt ist, auch Bilder von externen Domains zu bearbeiten. Die entsprechenden URLs muss man vorher in einer Whitelist eintragen. Allerdings prüft das Skript nur, ob die Domain in der URL vorhanden ist, nicht, an welcher Stelle sie steht. So kann mit einfachsten Mitteln das Plug-in ausgetrickst werden, indem man die Domain zwar in der URL aufführt, die URL selber aber zu einer Seite führt, von der Schadcode geladen wird. Im schlimmsten Fall kann über eine injizierte Remote Shell der komplette Server übernommen werden.

Auch das Wordpress-Blog des Timthumbs-Entwicklers BinaryMoon wurde so übernommen. Auf seiner Projektseite sagt er, er sei kein Experte bei Sicherheitsfragen in PHP und bat per Twitter die Community um Hilfe. Der Blogger Mark Maunder hat inzwischen das Script neu geschrieben und im SVN als Direktdownload eingestellt. Allerdings wurde beim Code-Review festgestellt dass das Skript weitere Probleme aufweist, die erst behoben werden sollten.

Mehr zum Thema

Bigquery für alle
Google

Konnten bislang nur einige ausgewählte Unternehmen den Google-Dienst Bigquery nutzen, so steht er nun allen Unternehmen und Entwicklern zur…
Framework fit für Azure
Symfony

Microsoft und die hinter Symfony stehende Firma Sensio Labs haben das beliebte PHP-Framework gemeinsam mit dem PHP-Dienstleister Mayflower für…
Hetzner

Hetzner hat mit dem EX 10 einen neuen Rootserver ins Programm aufgenommen, der mit einem Intel Core i7-3930K bestückt ist.
Strato bietet Appwizard an
Neue Anwendungen

Strato hat seine Powerweb-Pakete erweitert, so dass sich nun auch Prestashop und Sugar CRM über den Appwizard mit wenigen Klicks einrichten lassen.
Zahl des Tages: 312
Online-Handel

Der neue Paragraph 312g des Bürgerlichen Gesetzbuches soll verhindern, dass Kunden beim Surfen im Internet in Abo-Fallen tappen.
News
Video
SciFi-Action mit Ryan Gosling und Harrison Ford
Video
Agatha-Christie-Verfilmung mit Johnny Depp
Video
Kinostart: 23.11.2017