WEBLEDI.RUВебледи Форум успешных женщин-вебмастеров
21 Январь 2017, 21:32:56 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Правила Реклама
 
5
10
15
Свежие ответы
от alyana (Контент, копирайтинг, переводы)
от Laka (Реклама и доход)
от Ninok-sb (Платное размещение статей и ссылок)
от Loki_Dex (Особенности работы с разными CMS)
от Петрова (Новичку)
от Bukvarix (Сервисы и SEO программы)
от Loki_Dex (Наши сайты)
от Pomazyka (Семья)
от Loki_Dex (Работа и услуги)
от salemed (Социальные сети)
от Irina0408 (Дизайн)
от FreeZe (Покупка-продажа)
от rusrob (Ищу копирайтера, редактора, контент-менеджера)
от Holly (Тизерные и баннерные сети)
от vuxaru (Пожелания к администрации форума)
Свежие темы
Показать ещё
  Печать  
Страниц: 1
Автор

Тема: Уязвимость нулевого дня в расширении для WordPress  (Прочитано 871 раз)

0 Пользователей и 1 Гость смотрят эту тему.
MAzZY
Биоробот
Offline Offline

Сообщений: 857


Просмотр профиля WWW
« : 04 Август 2011, 10:18:59 »

Цитировать
Генеральный директор технологической компании Feedjit Марк Маундер (Mark Maunder) опубликовал в своем блоге информацию об обнаруженной им уязвимости в WordPress. По его словам, злоумышленники имеют возможность эксплуатировать часто используемое расширение web-платформы, с помощью которого можно получить контроль над web-сайтами жертв.

Уязвимость затрагивает практически все web-страницы, применяющие утилиту для изменения размера изображений TimThumb. По словам Маундера, данная утилита «небезопасна изначально», так как она упрощает работу хакеров по выполнению вредоносного кода.

Маундер обнаружил уязвимость после того, как его собственный web-сайт markmaunder.com был взломан. Страницы сайта неожиданно начали отображать рекламу неизвестного происхождения, хотя функция рекламы на сайте была отключена.

После тщательного расследования, он пришел к выводу, что злоумышленники использовали TimThumb для загрузки PHP-файла на одну из директорий сайта. Утилита, по словам Маундера, по умолчанию дает возможность удаленно загружать файлы из blogger.com, wordpress.com и еще пяти сайтов, без каких либо проверок.

«Если создать на web-сервере файл, подобный такому: http://blogger.com.somebadhackersite.com/badscript.php, а затем дать timthumb.php команду загрузить его, он сделает это и поместит его прямо в кеш, готовым к выполнению», - говорит Маундер.

Разработчики TimThumb работают над обновлением, закрывающим данную уязвимость.
http://www.securitylab.ru/news/406588.php

У многих из вас в шаблонах используется timthumb.php для создания миниатюр к записям. Лучший вариант - переделать шаблон под использование стандартных миниатюр вордпресса. Это не так сложно, просто придется пройтись по всем записям и установить для каждой миниатюру - порядка одной минуты на запись. Даже меньше.
Ну или следите за обновлением - http://code.google.com/p/timthumb/source/list
Записан

.
Починю Ваш сайтик или сделаю новый.
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Страниц: 1
  Печать  
 
Перейти в:  

| Sitemap