Gefährliche Lücke in Wordpress-Plug-in

[Christoph]

Zitat:

Eine Lücke im weit verbreiteten Wordpress-Plugin Timthumb ermöglicht es, Inhalte in Wordpress-Blogs zu verändern. Außerdem kann über eine Remote Shell der hostende Server kompromitiert werden.

Das Wordpress-Plug-in Timthumb findet in vielen Wordpress-Themes Verwendung. Es erlaubt die Größenänderung von Bildern und die Erstellung von Thumbnails. Der Blogger Mark Maunder, dessen Blog durch diese Lücke ebenfalls gehacked wurde, berichtet ausführlich über das Problem. Seinem Blog wurde über die Remote Shell "Alucar Shell" Werbung hinzugefügt.

Das Problem in dem PHP-Script Timthumb entsteht dadurch, dass es erlaubt ist, auch Bilder von externen Domains zu bearbeiten. Die entsprechenden URLs muss man vorher in einer Whitelist eintragen. Allerdings prüft das Skript nur, ob die Domain in der URL vorhanden ist, nicht, an welcher Stelle sie steht. So kann mit einfachsten Mitteln das Plug-in ausgetrickst werden, indem man die Domain zwar in der URL aufführt, die URL selber aber zu einer Seite führt, von der Schadcode geladen wird. Im schlimmsten Fall kann über eine injizierte Remote Shell der komplette Server übernommen werden.

Auch das Wordpress-Blog des Timthumbs-Entwicklers BinaryMoon wurde so übernommen. Auf seiner Projektseite sagt er, er sei kein Experte bei Sicherheitsfragen in PHP und bat per Twitter die Community um Hilfe. Der Blogger Mark Maunder hat inzwischen das Script neu geschrieben und im SVN als Direktdownload eingestellt. Allerdings wurde beim Code-Review festgestellt dass das Skript weitere Probleme aufweist, die erst behoben werden sollten.

Quelle: http://www.internet-magazin.de/news/...n-1166938.html