TimThumb, l’utility di ridimensionamento delle immagini compresa in molti template della famosa piattaforma WordPress, sta dando problemi di sicurezza in quanto evidenzia vulnerabilità che eventuali cracker potrebbero sfruttare per attaccare siti e blog che utilizzano tale piattaforma.
Mark Maunder, amministratore delegato di Feedjit, ha scoperto il problema quando il suo blog ha cominciato a caricare contenuti pubblicitari che originariamente non erano stati da egli stesso inseriti. Proprio sul blog ha parlato dal problema, spiegando che è correlato alla libreria timthumb.php, utilizzata dal tema che egli ha acquistato per il suo spazio web. «Dal momento che sono appena stato attaccato attraverso essa, immagino sia giusto parlare della vulnerabilità al grande pubblico», ha scritto Maunder.
TimThumb.php, continua, è “intrinsecamente insicuro” perché scrive i file in una directory quando si carica l’immagine e la si ridimensiona. Tuttavia, questa directory è accessibile alle persone che visitano il sito, diventando quindi fonte di attacchi per i pirati informatici. Un utente malintenzionato può anche compromettere il sito agendo direttamente dalla directory, “riempendola” di file infetti.
Non solo (aggiungiamo noi), il problema infatti non si limita solo a caricare file infetti ma anche file php maliziosi come le famose phpshell, e nel caso in cui non fosse stato fatto hardening a livello di configurazione PHP (separazione privilegi con su_php o php-fpm, o la disabilitazione di funzioni pericolose come l’allow_url_fopen,system,exec,ecc…) può compromettere seriamente la sicurezza dell’intero server Web oltre che del vhost specifico.
Il tipo di attacco è quello comunemente definito RFI (Remote File Inclusion), http://it.wikipedia.org/wiki/Remote_File_Inclusion
Maunder ha dunque spiegato che al momento conviene disabilitare TimThumb o, al limite, limitarne l’accesso.
Per quanto il discorso di Maunder possa essere corretto e sensato, esso tende a creare dei fraintendimenti ad utenti WordPress e webmaster non troppo esperti.
Va ricordato infatti che timthumb non è un plugin di WordPress ma bensì un file php “sfuso” inserito come parte funzionale di molti template WordPress (ma non solo wordpress).
Risulta dunque impossibile disabilitare questo plugin da pannello di controllo come si farebbe normalmente nell’attivazione e disattivazione di plugin wordpress e sopratutto non bisogna illudersi che basti aggiornare la versione di WordPress attuale all’ultima stabile per risolvere questo problema.
Bisogna (purtroppo) fare un’attività di ricerca manuale nelle cartelle del proprio template, individuare il file timthumb.php (se presente) e sostituirlo con la nuova versione che potete scaricare qui http://code.google.com/p/timthumb/
Uomo avvisato …
Articoli che potrebbero interessarti
Wordstress, uno scanner di vulnerabilità WordPress scritto in Ruby e tutto italiano.
WordPress XMLRPC, più di 162.000 siti WordPress utilizzati per attacco DDOS
Symlink attack su Webserver apache. Dallattacco alla difesa. Un esempio pratico e la configurazione corretta.
Cronowork – Flyer
I problemi nel gestire un server dedicato o una VPS linux. Il vantaggio dei servizi managed.
…mezzo salvato.. 😉 sto cercando e sostituendo il file…
Scusami, ma in quello nuovo hanno sistemato il bug? Io non riesco a farlo andare, probabilemente vhosting ha regole molto rigide… ne sai qualcosa?
Appreciation to my father who told me on the topic of this
webpage, this webpage is truly awesome.
It’s amazing designed for me to have a site, which is good in favor
of my know-how. thanks admin
Line a windowsill or counter top with coffee grounds.
What is a great place for people to live is, unfortunately, is also a
great place for pests to live as well. Try using hairspray to get rid of bees, hornets,
or wasps.
Jumping beans have always been a well-liked novelty.
I would recommend reading this section two times, as the methods are extremely time-delicate.
Yes, the Application Store has a entire great deal of apps to select from.
, when Seneca’s bowl and water (and possibly goldfish) were replaced by a
flat-bottom, convex glass sphere that was
laid on top of the reading material, becoming in effect the first magnifying glass and enabling the Sherlock Holmes
of medieval Italy to gather numerous clues to solve crimes.
In the fashion market of India, there is huge market to be tapped.
Apart from being used in jewelry making quartz beads are used in making watches, radios, and in numerous mechanical devices as oscillators.
Disable this method, press Apply, then reboot your computer.
Some expert in raw food movement say that due to heat, a centrifuge juicer can destroy all enzymes or a part of them.
It comes with several features such as the following:. Families probably want to consider a larger
juicer.