Abo
  • Services:
Anzeige
Hacker erhalten über Timthumb Zugriff auf einen Worpress-Server
Hacker erhalten über Timthumb Zugriff auf einen Worpress-Server (Bild: Mark Maunder)

Wordpress

Sicherheitslücke in Timthumb macht Blogseiten angreifbar

Hacker erhalten über Timthumb Zugriff auf einen Worpress-Server
Hacker erhalten über Timthumb Zugriff auf einen Worpress-Server (Bild: Mark Maunder)

Eine Sicherheitslücke in dem Dienstprogramm Timthumb für Wordpress kann genutzt werden, um Wordpress-Blogs zu manipulieren. Der Entdecker der Sicherheitslücke stellt ein Patch zur Verfügung, der Entwickler will den Fehler korrigieren.

Das Dienstprogramm Timthumb kann genutzt werden, um Wordpress-Seiten zu manipulieren. Angreifer können sich Zutritt zur Dateistruktur der Blogsoftware verschaffen, indem sie über die Datei timthumb.php unerwünschten Code einschleusen. Timthumb wird von zahlreichen Themes genutzt, um Bilder zu skalieren und benötigt deshalb Schreibrechte für das Wordpress-Verzeichnis.

Anzeige

Der Entdecker der Sicherheitslücke Mark Maunder wurde von dem Hacker mit den Worten "Congratulations, you're a winner" in seinem eigenen Blog begrüßt. Er bemerkte, dass seine Webseite Banner-Werbung schaltete, obwohl er dies selbst nicht veranlasst hatte.

Um die Sicherheitslücke zu schließen, rät Maunder, timthumb.php zu löschen und sämtliche Themes daraufhin zu prüfen, ob sie von dem Fehlen von Timthumb betroffen sind. Außerdem sollten Anwender nochmals überprüfen, ob die Dateirechte in der Ordnerstruktur von Wordpress korrekt vergeben sind.

Wer Timthumb nicht deaktivieren will, kann in der Datei timthumb.php alle Einträge in dem Array $allowedsites löschen. Denn laut Maunder liegt der Fehler in der Abfrage der dort eingetragenen Domänen, die lediglich per unvollständiger String-Abfrage abgeglichen werden. Dass diese Lösung reicht, kann Maunder allerdings nicht garantieren.

Ben Gillbanks, der Entwickler, arbeitet an einer Korrektur seiner Software. Er hatte sich unter dem Posting von Maunder bereits für die Fehler entschuldigt.


eye home zur Startseite


Das INCONET Tagebuch / 12. Aug 2011

tech and commerce / 05. Aug 2011

WordPress & Webwork / 04. Aug 2011



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. operational services GmbH & Co. KG, Braunschweig
  3. Deutschlandradio, Berlin
  4. Aareon Deutschland GmbH, Mainz


Anzeige
Top-Angebote
  1. umgerechnet ca. 170,19€ inkl. Versand (Vergleichspreis: 267,79€)
  2. 44,99€
  3. beim Kauf eines 6- oder 8-Core FX Prozessors

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Tipps für IT-Engagement in Fernost
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Für Werbezwecke

    Whatsapp teilt alle Telefonnummern mit Facebook

  2. Domino's

    Die Pizza kommt per Lieferdrohne

  3. IT-Support

    Nasa verzichtet auf Tausende Updates durch HP Enterprise

  4. BGH-Antrag

    Opposition will NSA-Ausschuss zur Ladung Snowdens zwingen

  5. Kollaborationsserver

    Nextcloud 10 verbessert Server-Administration

  6. Exo-Planet

    Der Planet von Proxima Centauri

  7. Microsoft

    Windows 10 Enterprise kommt als Abo

  8. Umwelthilfe

    Handel ignoriert Rücknahmepflicht von Elektrogeräten

  9. 25 Jahre Linux

    Besichtigungstour zu den skurrilsten Linux-Distributionen

  10. Softrobotik

    Oktopus-Roboter wird mit Gas angetrieben



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

  1. Re: Wer nicht Telegram nutzt

    Apfelbrot | 04:24

  2. Re: WC`ehn müsste Linux mittelfristg (ab 2020)

    jajagreat | 04:15

  3. Re: die ethischen Werte in USA ?

    q96500 | 03:07

  4. Re: Unwirtschaftlich

    maverick1977 | 03:03

  5. Re: Irgendwas stimmt da aber nicht....

    large-m | 03:01


  1. 15:54

  2. 15:34

  3. 15:08

  4. 14:26

  5. 13:31

  6. 13:22

  7. 13:00

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel