WordPress a rischio : timthumb.php vulnerabile ad attacchi di tipo Remote File Include

TimThumb, l’utility di ridimensionamento delle immagini compresa in molti template della famosa piattaforma WordPress, sta dando problemi di sicurezza in quanto evidenzia vulnerabilità che eventuali cracker potrebbero sfruttare per attaccare siti e blog che utilizzano tale piattaforma.

Mark Maunder, amministratore delegato di Feedjit, ha scoperto il problema quando il suo blog ha cominciato a caricare contenuti pubblicitari che originariamente non erano stati da egli stesso inseriti. Proprio sul blog ha parlato dal problema, spiegando che è correlato alla libreria timthumb.php, utilizzata dal tema che egli ha acquistato per il suo spazio web. «Dal momento che sono appena stato attaccato attraverso essa, immagino sia giusto parlare della vulnerabilità al grande pubblico», ha scritto Maunder.

TimThumb.php, continua, è “intrinsecamente insicuro” perché scrive i file in una directory quando si carica l’immagine e la si ridimensiona. Tuttavia, questa directory è accessibile alle persone che visitano il sito, diventando quindi fonte di attacchi per i pirati informatici. Un utente malintenzionato può anche compromettere il sito agendo direttamente dalla directory, “riempendola” di file infetti.

Non solo (aggiungiamo noi), il problema infatti non si limita solo a caricare file infetti ma anche file php maliziosi come le famose phpshell,  e nel caso in cui non fosse stato fatto hardening a livello di configurazione PHP (separazione privilegi con su_php o php-fpm, o la disabilitazione di funzioni pericolose come l’allow_url_fopen,system,exec,ecc…) può compromettere seriamente la sicurezza dell’intero server Web oltre che del vhost specifico.

Il tipo di attacco è quello comunemente definito RFI (Remote File Inclusion), http://it.wikipedia.org/wiki/Remote_File_Inclusion

Maunder ha dunque spiegato che al momento conviene disabilitare TimThumb o, al limite, limitarne l’accesso.

Per quanto il discorso di Maunder possa essere corretto e sensato, esso tende a creare dei fraintendimenti ad utenti WordPress e webmaster non troppo esperti.

Va ricordato infatti che timthumb non è un plugin di WordPress ma bensì un file php “sfuso” inserito come parte funzionale di molti template WordPress (ma non solo wordpress).

Risulta dunque impossibile disabilitare questo plugin da pannello di controllo come si farebbe normalmente nell’attivazione e disattivazione di plugin wordpress e sopratutto non bisogna illudersi che basti aggiornare la versione di WordPress attuale all’ultima stabile per risolvere questo problema.

Bisogna (purtroppo) fare un’attività di ricerca manuale nelle cartelle del proprio template, individuare il file timthumb.php (se presente) e sostituirlo con la nuova versione che potete scaricare qui http://code.google.com/p/timthumb/
Uomo avvisato …

Share and Enjoy:
  • del.icio.us
  • Facebook
  • Mixx
  • Google Bookmarks
  • Digg
  • LinkedIn
  • oknotizie
  • MySpace
  • Technorati
  • Live
  • Slashdot

9 commenti su “WordPress a rischio : timthumb.php vulnerabile ad attacchi di tipo Remote File Include”

  1. Scusami, ma in quello nuovo hanno sistemato il bug? Io non riesco a farlo andare, probabilemente vhosting ha regole molto rigide… ne sai qualcosa?

  2. Line a windowsill or counter top with coffee grounds.
    What is a great place for people to live is, unfortunately, is also a
    great place for pests to live as well. Try using hairspray to get rid of bees, hornets,
    or wasps.

  3. Jumping beans have always been a well-liked novelty.
    I would recommend reading this section two times, as the methods are extremely time-delicate.
    Yes, the Application Store has a entire great deal of apps to select from.

  4. , when Seneca’s bowl and water (and possibly goldfish) were replaced by a
    flat-bottom, convex glass sphere that was
    laid on top of the reading material, becoming in effect the first magnifying glass and enabling the Sherlock Holmes
    of medieval Italy to gather numerous clues to solve crimes.

    In the fashion market of India, there is huge market to be tapped.
    Apart from being used in jewelry making quartz beads are used in making watches, radios, and in numerous mechanical devices as oscillators.

  5. Some expert in raw food movement say that due to heat, a centrifuge juicer can destroy all enzymes or a part of them.
    It comes with several features such as the following:. Families probably want to consider a larger
    juicer.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.