Abo
  • IT-Karriere:

Wordpress

Sicherheitslücke in Timthumb macht Blogseiten angreifbar

Eine Sicherheitslücke in dem Dienstprogramm Timthumb für Wordpress kann genutzt werden, um Wordpress-Blogs zu manipulieren. Der Entdecker der Sicherheitslücke stellt ein Patch zur Verfügung, der Entwickler will den Fehler korrigieren.

Artikel veröffentlicht am ,
Hacker erhalten über Timthumb Zugriff auf einen Worpress-Server
Hacker erhalten über Timthumb Zugriff auf einen Worpress-Server (Bild: Mark Maunder)

Das Dienstprogramm Timthumb kann genutzt werden, um Wordpress-Seiten zu manipulieren. Angreifer können sich Zutritt zur Dateistruktur der Blogsoftware verschaffen, indem sie über die Datei timthumb.php unerwünschten Code einschleusen. Timthumb wird von zahlreichen Themes genutzt, um Bilder zu skalieren und benötigt deshalb Schreibrechte für das Wordpress-Verzeichnis.

Stellenmarkt
  1. ABB AG, Mannheim
  2. Süwag Energie AG, Frankfurt am Main

Der Entdecker der Sicherheitslücke Mark Maunder wurde von dem Hacker mit den Worten "Congratulations, you're a winner" in seinem eigenen Blog begrüßt. Er bemerkte, dass seine Webseite Banner-Werbung schaltete, obwohl er dies selbst nicht veranlasst hatte.

Um die Sicherheitslücke zu schließen, rät Maunder, timthumb.php zu löschen und sämtliche Themes daraufhin zu prüfen, ob sie von dem Fehlen von Timthumb betroffen sind. Außerdem sollten Anwender nochmals überprüfen, ob die Dateirechte in der Ordnerstruktur von Wordpress korrekt vergeben sind.

Wer Timthumb nicht deaktivieren will, kann in der Datei timthumb.php alle Einträge in dem Array $allowedsites löschen. Denn laut Maunder liegt der Fehler in der Abfrage der dort eingetragenen Domänen, die lediglich per unvollständiger String-Abfrage abgeglichen werden. Dass diese Lösung reicht, kann Maunder allerdings nicht garantieren.

Ben Gillbanks, der Entwickler, arbeitet an einer Korrektur seiner Software. Er hatte sich unter dem Posting von Maunder bereits für die Fehler entschuldigt.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. 149,99€ (Release noch nicht bekannt)
  3. 39,99€
  4. (-79%) 12,50€

Folgen Sie uns
       


Samsung Galaxy Note 10 und 10 Plus - Hands on

Samsung hat seine neuen Note-Modelle gezeigt und wir haben sie ausprobiert.

Samsung Galaxy Note 10 und 10 Plus - Hands on Video aufrufen
IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  2. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  3. IT-Fachkräftemangel Arbeit ohne Ende

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

    •  /