Abo
  • Services:
Anzeige
Hacker erhalten über Timthumb Zugriff auf einen Worpress-Server
Hacker erhalten über Timthumb Zugriff auf einen Worpress-Server (Bild: Mark Maunder)

Wordpress

Sicherheitslücke in Timthumb macht Blogseiten angreifbar

Hacker erhalten über Timthumb Zugriff auf einen Worpress-Server
Hacker erhalten über Timthumb Zugriff auf einen Worpress-Server (Bild: Mark Maunder)

Eine Sicherheitslücke in dem Dienstprogramm Timthumb für Wordpress kann genutzt werden, um Wordpress-Blogs zu manipulieren. Der Entdecker der Sicherheitslücke stellt ein Patch zur Verfügung, der Entwickler will den Fehler korrigieren.

Das Dienstprogramm Timthumb kann genutzt werden, um Wordpress-Seiten zu manipulieren. Angreifer können sich Zutritt zur Dateistruktur der Blogsoftware verschaffen, indem sie über die Datei timthumb.php unerwünschten Code einschleusen. Timthumb wird von zahlreichen Themes genutzt, um Bilder zu skalieren und benötigt deshalb Schreibrechte für das Wordpress-Verzeichnis.

Anzeige

Der Entdecker der Sicherheitslücke Mark Maunder wurde von dem Hacker mit den Worten "Congratulations, you're a winner" in seinem eigenen Blog begrüßt. Er bemerkte, dass seine Webseite Banner-Werbung schaltete, obwohl er dies selbst nicht veranlasst hatte.

Um die Sicherheitslücke zu schließen, rät Maunder, timthumb.php zu löschen und sämtliche Themes daraufhin zu prüfen, ob sie von dem Fehlen von Timthumb betroffen sind. Außerdem sollten Anwender nochmals überprüfen, ob die Dateirechte in der Ordnerstruktur von Wordpress korrekt vergeben sind.

Wer Timthumb nicht deaktivieren will, kann in der Datei timthumb.php alle Einträge in dem Array $allowedsites löschen. Denn laut Maunder liegt der Fehler in der Abfrage der dort eingetragenen Domänen, die lediglich per unvollständiger String-Abfrage abgeglichen werden. Dass diese Lösung reicht, kann Maunder allerdings nicht garantieren.

Ben Gillbanks, der Entwickler, arbeitet an einer Korrektur seiner Software. Er hatte sich unter dem Posting von Maunder bereits für die Fehler entschuldigt.


eye home zur Startseite


Das INCONET Tagebuch / 12. Aug 2011

tech and commerce / 05. Aug 2011

WordPress & Webwork / 04. Aug 2011



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Continental AG, Hannover
  3. Schwarz Zentrale Dienste KG, Neckarsulm
  4. Dataport, Altenholz bei Kiel, Hamburg


Anzeige
Hardware-Angebote
  1. 599€ + 5,99€ Versand
  2. (diverse Modelle von MSI, ASUS, ASRock und Gigabyte lagernd)

Folgen Sie uns
       


  1. Datenrate

    Kunden wollen schnelle Internetzugänge

  2. Essential Phone im Test

    Das essenzielle Android-Smartphone hat ein Problem

  3. Pixel Visual Core

    Googles eigener ISP macht HDR+ schneller

  4. TK-Marktstudie

    Telekom kann ihre Glasfaseranschlüsse nur schwer verkaufen

  5. Messenger

    Whatsapp lässt Aufenthaltsort über längere Zeiträume teilen

  6. ZBook x2

    HPs mobile Workstation macht Wacom und Surface Konkurrenz

  7. Krack-Angriff

    Kein Grund zur Panik

  8. Electronic Arts

    Entwicklungsneustart für Star Wars Ragtag

  9. EU-Urheberrechtsreform

    Streit über Uploadfilter und Grundrechte

  10. Netzneutralität

    Warum die Telekom mit Stream On noch scheitern könnte



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

Indiegames-Rundschau: Fantastische Fantasy und das Echo der Doppelgänger
Indiegames-Rundschau
Fantastische Fantasy und das Echo der Doppelgänger
  1. Verlag IGN übernimmt Indiegames-Anbieter Humble Bundle
  2. Indiegames-Rundschau Cyberpunk, Knetmännchen und Kampfsportkünstler
  3. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob

  1. Re: End of ownership

    seebra | 13:19

  2. Re: Offline/mods

    Dwalinn | 13:16

  3. Re: Kleinreden ist Verteidigung der Hersteller

    der_wahre_hannes | 13:12

  4. Re: Kann ich eigendlich Epic Games verklagen weil...

    Braineh | 13:11

  5. Re: VPN, VPN, VPN

    bombinho | 13:11


  1. 12:56

  2. 12:01

  3. 11:48

  4. 11:21

  5. 11:09

  6. 11:01

  7. 10:48

  8. 10:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel