1

Vulnerabilitate TimThumb + rezolvare

Pentru linistea celor care se dau in vant dupa utilizarea pluginului TimThumb, venim cu o recomandare: cititi acest post si puneti in balanta daca se merita continuarea folosirii acestui plugin in detrimentul securitatii site-urilor gazduite.

Despre ce este vorba? Acum ceva vreme s-a descoperit o vulnerabilitate in plugin TimThumb care permite uploadarea de fisere .php ce pot fi rulate ulterior pentru a castiga access la site-urile care folosesc acest plugin. Cum se poate intampla ? Fisierul timthumb.php necesita drepturi de scriere asupra unui folder ce poate fi accesat de vizitatorii site-ului dvs. Cu alte cuvinte, oricine acceseaza directorul respectiv, poate “scrie” acolo. Cam neplacut, nu ?

Ce variante sunt?

1. Renunta la acest plugin desi esti multumit de ceea ce face.

2. Daca punctul 1 nu iti convine, poti incerca sa faci update la ultima versiune existenta pe Google Code. Dupa ce ai downloadat versiunea existenta, suprascrie (overwrite) fisierul timthumb.php existent in directorul temei folosite. Cum il suprascrii? Foloseste-te de clientul FTP cu care lucrezi de obicei sau, daca iti este mai usor, foloseste functia de upload file din cPanel (panoul de control al contului de gazduire).

3. Editeaza fisierul timthumb.php (sau thumb.php pentru WooThemes) si cauta sectiunea de cod (undeva pe la linia 27) ce contine:

// external domains that are allowed to be displayed on your website
$allowedSites = array ( ‘flickr.com’, ‘picasa.com’, ‘blogger.com’, ‘wordpress.com’, ‘img.youtube.com’, ‘upload.wikimedia.org’, );
si modifica sa ramana doar

$allowedSites = array();

Cam atat.

 

Experthost.ro

Prezenți pe piața de servicii web sub acest nume, din 2006, am încercat să găsim soluția optimă, ca echilibru între servicii de calitate si prețuri cât mai mici posibile. Încercăm să fim cât mai aproape de perfecțiune și să păstrăm o relație frumoasă atât cu clienții cât și cu partenerii însă acest lucru nu prespune concesiuni numai din partea noastră.

Un comentariu

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.