Sicherheit

Gefährliche Lücke in Wordpress-Plug-in

Eine Lücke im weit verbreiteten Wordpress-Plugin Timthumb ermöglicht es, Inhalte in Wordpress-Blogs zu verändern. Außerdem kann über eine Remote Shell der hostende Server kompromitiert werden.

News
VG Wort Pixel
image.jpg
Internet Magazin
© Stephan Lamprecht, Daniela Schrank

Das Wordpress-Plug-in Timthumb findet in vielen Wordpress-Themes Verwendung. Es erlaubt die  Größenänderung von Bildern und die Erstellung von Thumbnails. Der Blogger Mark Maunder, dessen Blog durch diese Lücke ebenfalls gehacked wurde, berichtet ausführlich über das Problem. Seinem Blog wurde über die Remote Shell "Alucar Shell" Werbung hinzugefügt.

Das Problem in dem PHP-Script Timthumb entsteht dadurch, dass es erlaubt ist, auch Bilder von externen Domains zu bearbeiten. Die entsprechenden URLs muss man vorher in einer Whitelist eintragen. Allerdings prüft das Skript nur, ob die Domain in der URL vorhanden ist, nicht, an welcher Stelle sie steht. So kann mit einfachsten Mitteln das Plug-in ausgetrickst werden, indem man die Domain zwar in der URL aufführt, die URL selber aber zu einer Seite führt, von der Schadcode geladen wird. Im schlimmsten Fall kann über eine injizierte Remote Shell der komplette Server übernommen werden.

Auch das Wordpress-Blog des Timthumbs-Entwicklers BinaryMoon wurde so übernommen. Auf seiner Projektseite sagt er, er sei kein Experte bei Sicherheitsfragen in PHP und bat per Twitter die Community um Hilfe. Der Blogger Mark Maunder hat inzwischen das Script neu geschrieben und im SVN als Direktdownload eingestellt. Allerdings wurde beim Code-Review festgestellt dass das Skript weitere Probleme aufweist, die erst behoben werden sollten.

4.8.2011 von Ferdinand Thommes

Weiter zur Startseite  

Mehr zum Thema

Framework fit für Azure

Symfony

Framework fit für Azure

Microsoft und die hinter Symfony stehende Firma Sensio Labs haben das beliebte PHP-Framework gemeinsam mit dem PHP-Dienstleister Mayflower für Windows…

Hetzner

Neues Rootserver-Flaggschiff

Hetzner hat mit dem EX 10 einen neuen Rootserver ins Programm aufgenommen, der mit einem Intel Core i7-3930K bestückt ist.

Strato bietet Appwizard an

Neue Anwendungen

Strato bietet Appwizard an

Strato hat seine Powerweb-Pakete erweitert, so dass sich nun auch Prestashop und Sugar CRM über den Appwizard mit wenigen Klicks einrichten lassen.

Zahl des Tages: 312

Online-Handel

Zahl des Tages: 312

Der neue Paragraph 312g des Bürgerlichen Gesetzbuches soll verhindern, dass Kunden beim Surfen im Internet in Abo-Fallen tappen.

Candy Crush Saga

Online-Dienste an der Börse

Lohnen sich die Internet-Börsengänge 2014?

Wir sehen wieder Börsengänge von Internet-Unternehmen. Nach Box, Zalando und Coupons.com steht ein weiterer Kandidat vor der Tür: King.com.