Уязвимость в Wordpress темах / Информационная безопасность / Хабрахабр

Уязвимость в Wordpress темах

Входящая во многие wordpress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода.

В конфиге скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com) с которого ему разрешено загружать изображения.

Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-шелл на сервер используя список доверенных доменов для создания поддоменов с такими же названиями. Т.е. timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер.

Уязвимость обнаружил Марк Маундер, после того, как его блог был взломан.

Пропатченный timthumb.php

wordpress
, timthumb

+58

3 августа 2011, 08:42

exitusletaris

комментарии (24)

Svictor 3 августа 2011, 09:10 #

Спасибо, пошел обновлять свой блог.

+26

5erg 3 августа 2011, 11:13 # ↑

Спасибо, пошел шалить, пока все остальные не обновились :-)

–1

sshz 3 августа 2011, 17:52 # ↑

Вы еще Windows обновите на всякий случай.

Уязвимость не в WordPress, а в скрипте изменения размеров картинок который используют некоторые создатели тем для WordPress.

Желтая пресса рулит конечно
1. Timthumbs никакого отношения конкретно к WordPress не имеет, это отдельный скрипт, даже не плагин для WordPress, с таким же успехом статью можно назвать «Уязвимость в темах Joomla».
2. Timthumbs используется не более чем в 5-10% тем WordPress, по этому не думаю что правильно говорить, что он используется во многих темах.
3. Уязвимость действительно серьезная, по этому стоит проверить, использует ли ваша тема Timthumbs, если в папке темы или подпапках есть timthumb.php скорее всего использует.

Agel_Nash 3 августа 2011, 22:09 # ↑

Втихушку проверил сайты на WordPress у себя на хостинге и вот что обнаружилось: из 142 сайтов в сумме 311 шаблонов. Из 311 шаблонов 1 подобный скрипт. Так что готов поспорить это не баг, это бэкдор от автора шаблона.

zelenin 3 августа 2011, 23:13 # ↑

фрилансю, в том числе вордпрессом. В 30% случаев у клиента коммерческий шаблон с timthumb

Lux_In_Tenebris 4 августа 2011, 03:17 # ↑

подтверждаю

$ find . -type f -name timthumb.php

./wp-content/plugins/tag-gallery/timthumb/timthumb.php

./wp-content/themes/dandelion_v2.6.3/functions/timthumb.php

коммерческая тема Dandelion

Lux_In_Tenebris 4 августа 2011, 03:24 # ↑

плагин Tag-gallery

Agel_Nash 4 августа 2011, 07:46 # ↑

Проверил еще раз. И нашел подобный скрипт но только с другим называнием: thumb.php

ViGilant 3 августа 2011, 09:20 #

это актуально только в том случае, если у юзеров после регистрации есть права на создание записи -> прикладывание изображений?

korum 3 августа 2011, 10:09 # ↑

Да, как вариант можно допускать к возможности публикации только доверенных пользователей

ViGilant 3 августа 2011, 13:06 # ↑

благодарю
тогда это не столь страшно

stoodiakv1 3 августа 2011, 10:09 #

похоже, это кто-то раньше него заметил уязвимость, ^_^

t0os 3 августа 2011, 10:12 # ↑

Это вы сделали вывод после этих слов? :-)

Уязвимость обнаружил Марк Маундер, после того, как его блог был взломан.

Kilew 3 августа 2011, 10:32 # ↑

Да все логично ;)
Уязвимость обнаружил ХЗ кто ;)
А потом уже Марк Маундер ;)

Punk_UnDeaD 3 августа 2011, 16:33 #

Уязвимость уже в том, что эти файлы из папки, куда льётся всякое, можно исполнять.

VolCh 3 августа 2011, 23:10 # ↑

Это естественное поведение таких скриптовых языков. Уязвимость, имхо, в том, что скрипт для работы с картинками не проверяет а картинки ли он грузит.

Punk_UnDeaD 4 августа 2011, 01:03 # ↑

Заговолок ответа можно подделать, можно ли обмануть анализатор содержимого — не знаю.
Options None
Options +FollowSymLinks
Правильный .htaccess решает.
Вот убедитесь govorit.donetsk.ua/sites/default/files/inf.php
Плюс нельзя сохранять файлы с расширением php.

VolCh 4 августа 2011, 01:14 # ↑

Ну по заголовку ответа никто и не предлагал. Первым делом расширение, потом анализатор. а .htaccess не на всех виртхостингах доступен.

Punk_UnDeaD 4 августа 2011, 01:22 # ↑

Ну тогда уже не знаю.
Какие могут быть гарантии безопасности в таком случае? Я бы никаких не давал.

VolCh 4 августа 2011, 01:29 # ↑

Большинство такого (всего?) софта поставляется AS IS. Но написать пару строчек кода, проверяющих можно ли картинку обработать как картинку, по-моему не сложно.

Punk_UnDeaD 4 августа 2011, 08:59 # ↑

Да я, собственно, про .htaccess, если он не работает, то лично я гарантий безопасности не дам. Более того, я просто откажусь работать с таким хостингом. Существуют системные требования и работающий .htaccess — одно из них.

VolCh 4 августа 2011, 10:30 # ↑

У меня он нигде не работает ) nginx+php-fpm )

AlexSpaizNet 13 февраля 2012, 00:00 #

Обрадовался когда нашел тут тему про это а потом огорчился. Не использую я вордпресс.

Сегодня обнаружил что мне footer.php подправили. Вся странность в том что движок сайта свой, написанный на фреймворке Codeigniter, версии 1.6 вроде, давно писал…

Никакой timthumb не использовал. Только встроенную библиотеку Image_lib и голый imagemagick через exec, но последний только для админских штучек (пакетной обработки фотографий), тогда как ImageLib (GD2) там где юзер может загружать свои фотки…

Сейчас скачиваю все файлы с сервака на локалку, буду копать…

Если есть у кого мысли, буду рад.

AlexSpaizNet 13 февраля 2012, 01:06 # ↑

Если кому интересно — snipplr.com/view/63291/my-website-was-hacked-with-this/

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информационная безопасность