Wordpress

Sicherheitslücke in Timthumb macht Blogseiten angreifbar

Eine Sicherheitslücke in dem Dienstprogramm Timthumb für Wordpress kann genutzt werden, um Wordpress-Blogs zu manipulieren. Der Entdecker der Sicherheitslücke stellt ein Patch zur Verfügung, der Entwickler will den Fehler korrigieren.

Anzeige

Das Dienstprogramm Timthumb kann genutzt werden, um Wordpress-Seiten zu manipulieren. Angreifer können sich Zutritt zur Dateistruktur der Blogsoftware verschaffen, indem sie über die Datei timthumb.php unerwünschten Code einschleusen. Timthumb wird von zahlreichen Themes genutzt, um Bilder zu skalieren und benötigt deshalb Schreibrechte für das Wordpress-Verzeichnis.

Der Entdecker der Sicherheitslücke Mark Maunder wurde von dem Hacker mit den Worten "Congratulations, you're a winner" in seinem eigenen Blog begrüßt. Er bemerkte, dass seine Webseite Banner-Werbung schaltete, obwohl er dies selbst nicht veranlasst hatte.

Um die Sicherheitslücke zu schließen, rät Maunder, timthumb.php zu löschen und sämtliche Themes daraufhin zu prüfen, ob sie von dem Fehlen von Timthumb betroffen sind. Außerdem sollten Anwender nochmals überprüfen, ob die Dateirechte in der Ordnerstruktur von Wordpress korrekt vergeben sind.

Wer Timthumb nicht deaktivieren will, kann in der Datei timthumb.php alle Einträge in dem Array $allowedsites löschen. Denn laut Maunder liegt der Fehler in der Abfrage der dort eingetragenen Domänen, die lediglich per unvollständiger String-Abfrage abgeglichen werden. Dass diese Lösung reicht, kann Maunder allerdings nicht garantieren.

Ben Gillbanks, der Entwickler, arbeitet an einer Korrektur seiner Software. Er hatte sich unter dem Posting von Maunder bereits für die Fehler entschuldigt.

Kommentarübersicht

Kommentieren

Trackbacks

Das INCONET Tagebuch / 12. Aug 2011

Sicherheitslücke auch in Ihrem WordPress-Blog?

tech and commerce / 05. Aug 2011

wordpress lücke timthumb.php – anwendungsbeispiele für hacks schwirren schon herum

WordPress & Webwork / 04. Aug 2011

WordPress: Themes die von der TimThumb-Sicherheitslücke betroffen sind

Anzeige
Stellenmarkt
  1. IT-Projektmanager (m/w) Automobil-Handel
    ADP Dealer Services Deutschland GmbH, Stuttgart
  2. SAP-Applikationsberater (m/w) Module: SD und LES
    SÜDSALZ GMBH, Heilbronn
  3. Projekt-Qualitätsmanager (m/w)
    Continental AG, Nürnberg (Reisebereitschaft)
  4. Java-Softwareentwickler (m/w)
    GK SOFTWARE AG, Sankt Ingbert

 

Detailsuche

Folgen Sie uns
       
Videos
Neuerungen der Google-Suche Neuerungen der Google-Suche
Ticker
  1. Antifeatures

    Freie Software gegen Bevormundung

  2. Video

    Yahoo gibt Angebot für Hulu ab

  3. Google X

    Google baut mobiles Internet in Afrika und Südostasien

  4. Xbox One

    Handel muss Gebrauchtspiele de-registrieren

  5. Lenovo

    "Wir können uns jede Übernahme leisten"

  6. Bundesdatenschützer

    Jobcenter sollen nicht bei Facebook recherchieren

  7. Navigation

    Google Maps erhält Routenplanung per Fahrrad

  8. Test Call of Juarez Gunslinger

    Hör-Spiel im Wilden Westen

  9. Fonic All-Net Flat

    Telefon-, SMS- und Datenflatrate für 25 Euro

  10. Drosselung

    Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Android
Next Browser angeschaut: Android-Browser mit Gestensteuerung
Next Browser angeschaut
Android-Browser mit Gestensteuerung

Das Go-Launcher-Team hat einen eigenen Browser für Android veröffentlicht. Der Next Browser wird über Gesten bedient, synchronisiert Lesezeichen und kann mittels Erweiterungen um zusätzliche Funktionen ergänzt werden.

  1. Offline-Karten-App für Android Maps With Me Pro gratis in Amazons App-Shop
  2. Smartphones und Tablets Google will Android-Fragmentierung bekämpfen
  3. All Access Google stellt Spotify-Konkurrenten vor
Microsoft Surface
Surface Pro im Test: Microsofts Tablet überzeugt als Notebook
Surface Pro im Test
Microsofts Tablet überzeugt als Notebook

Ein bisschen dicker, ein bisschen schwerer und dafür viel schneller: Das ist Microsofts Surface Pro im Vergleich zum Surface RT. Wir haben das Windows-8-Gerät auf seine Stärken hin untersucht und stellen fest, dass auch Microsoft Probleme mit einem kleinen Full-HD-Display hat.

  1. Microsoft Verkauf des Surface Pro startet am 31. Mai
  2. XPS 10 und Surface Deutliche Preissenkungen bei Windows-RT-Tablets
  3. Neue Firmware Update macht das Surface RT lauter
Urheberabgabe
Legale Privatkopien: "EU-Vorschlag würde freies Kopieren erlauben"
Legale Privatkopien
"EU-Vorschlag würde freies Kopieren erlauben"

Die EU diskutiert in der kommenden Woche ein Papier, das den Konflikt zwischen Geräteherstellern und Verwertungsgesellschaften lösen soll. Der Bitkom fordert eine schnelle Umsetzung des Vorschlags des EU-Mediators António Vitorino.

Forumsbeiträge »
  1. Navigations-App Google will Facebook bei Waze überbieten

    Re: 50 Millionen Nutzer.....

    Bosshaft | 03:57

  2. Antifeatures Freie Software gegen Bevormundung

    Re: Die Unterschiede bei Windows haben Gründe.

    QDOS | 03:55

  3. Xbox One Handel muss Gebrauchtspiele de-registrieren

    Re: Nur weil Sony in dieser Sache noch nichts...

    marsie | 03:27

  4. Blackberry Z10 im Langzeittest Tausche Android gegen Blackberry

    Re: Test Kritikpunkte

    Tamashii | 02:42

  5. Superkondensator Neuer Energiespeicher mit kurzer Ladezeit

    Re: mir stellt sich die Frage: Warum soll ich...

    jaegerschnitzel | 02:24

Ticker »
  1. Antifeatures Freie Software gegen Bevormundung

    17:14

  2. Video Yahoo gibt Angebot für Hulu ab

    13:18

  3. Google X Google baut mobiles Internet in Afrika und Südostasien

    11:44

  4. Xbox One Handel muss Gebrauchtspiele de-registrieren

    17:34

  5. Lenovo "Wir können uns jede Übernahme leisten"

    16:22

  6. Bundesdatenschützer Jobcenter sollen nicht bei Facebook recherchieren

    14:55

  7. Navigation Google Maps erhält Routenplanung per Fahrrad

    14:37

  8. Test Call of Juarez Gunslinger Hör-Spiel im Wilden Westen

    14:00

Zum Artikel