WEBLEDI.RUВебледи Форум успешных женщин-вебмастеров
04 Декабрь 2016, 05:58:54 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Правила Реклама
 
5
10
15
Свежие ответы
Re: Готовые статьи на тему "Красота и здоровье" недорого. от Yula (Контент, копирайтинг, переводы)
Re: CPA-сеть Hotpartner.biz от kuprum (CPA-сети)
Re: Нужны копирайтеры на постоянную работу! от ZAS (Ищу копирайтера, редактора, контент-менеджера)
Re: Дизайн от новичка от LanaSvetNik (Дизайн)
Онлайн-консультант Jivosite со скидкой до 20% от KeyWebRu (Хостинг)
Создать тест-опрос в Гугл Документах (или ваш вариант) от Anonyff (Работа и услуги)
Re: AdBean - Бобовая тизерная сеть. Новостные и товарные тизеры. До 90% отчислений! от AdBean (Реклама и доход)
Re: Подарю, продам или сдам в аренду домены от June (Домены)
Автоматизация Яндекс Директ + возврат 8% от рекламного бюджета. от Александр_26 (Полезное)
Re: Quick Sender - Комбайн для продвижения в ВКонтакте от Dima_Myrzich (Социальные сети)
Re: Марафон Спарта от Пузата - Почему я иду от Katelite (Обучение сайтостроению, SEO и заработку)
Re: Чистенький женский СДЛ. Размещение в авто от uckpa (Платное размещение статей и ссылок)
Re: [Анонс] Программа для группировки ключевых слов KeyAssort от KeyAssort (Сервисы и SEO программы)
Re: Имеют ли вес покупные ссылки при теперешних правилах Яндекса от Lina7 (Раскрутка сайтов в поисковиках)
Re: Насколько необходим онлайн консультант на сайте? от fainna (Юзабилити)
Свежие темы
Показать ещё
  Печать  
Страниц: 1
Автор

Тема: Уязвимость нулевого дня в расширении для WordPress  (Прочитано 865 раз)

0 Пользователей и 1 Гость смотрят эту тему.
MAzZY
Биоробот
Offline Offline

Сообщений: 857


Просмотр профиля WWW
« : 04 Август 2011, 10:18:59 »

Цитировать
Генеральный директор технологической компании Feedjit Марк Маундер (Mark Maunder) опубликовал в своем блоге информацию об обнаруженной им уязвимости в WordPress. По его словам, злоумышленники имеют возможность эксплуатировать часто используемое расширение web-платформы, с помощью которого можно получить контроль над web-сайтами жертв.

Уязвимость затрагивает практически все web-страницы, применяющие утилиту для изменения размера изображений TimThumb. По словам Маундера, данная утилита «небезопасна изначально», так как она упрощает работу хакеров по выполнению вредоносного кода.

Маундер обнаружил уязвимость после того, как его собственный web-сайт markmaunder.com был взломан. Страницы сайта неожиданно начали отображать рекламу неизвестного происхождения, хотя функция рекламы на сайте была отключена.

После тщательного расследования, он пришел к выводу, что злоумышленники использовали TimThumb для загрузки PHP-файла на одну из директорий сайта. Утилита, по словам Маундера, по умолчанию дает возможность удаленно загружать файлы из blogger.com, wordpress.com и еще пяти сайтов, без каких либо проверок.

«Если создать на web-сервере файл, подобный такому: http://blogger.com.somebadhackersite.com/badscript.php, а затем дать timthumb.php команду загрузить его, он сделает это и поместит его прямо в кеш, готовым к выполнению», - говорит Маундер.

Разработчики TimThumb работают над обновлением, закрывающим данную уязвимость.
http://www.securitylab.ru/news/406588.php

У многих из вас в шаблонах используется timthumb.php для создания миниатюр к записям. Лучший вариант - переделать шаблон под использование стандартных миниатюр вордпресса. Это не так сложно, просто придется пройтись по всем записям и установить для каждой миниатюру - порядка одной минуты на запись. Даже меньше.
Ну или следите за обновлением - http://code.google.com/p/timthumb/source/list
Записан

.
Починю Ваш сайтик или сделаю новый.
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Страниц: 1
  Печать  
 
Перейти в:  

| Sitemap