WEBLEDI.RUВебледи Форум успешных женщин-вебмастеров
30 Май 2017, 12:18:47 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Правила Реклама
 
5
10
15
Свежие ответы
от IrenBos (Услуги дизайнеров)
от fainna (Биржи контента)
от Oleg10 (Контент, копирайтинг, переводы)
от AffiliateCube (CPA-сети)
от Advertur (Реклама и доход)
от NastyaLanPR (Платное размещение статей и ссылок)
от paklya (Обо всем)
от Kaisa (Тизерные и баннерные сети)
от paklya (Финансы)
от Клим (Работа и услуги)
от Jokya (Yandex)
от juliyasmi (Раскрутка сайтов в поисковиках)
от KeyAssort (Сервисы и SEO программы)
от PeterS (Особенности работы с разными CMS)
от HostiMan (Хостинг)
Свежие темы
Показать ещё
  Печать  
Страниц: 1
Автор

Тема: Уязвимость нулевого дня в расширении для WordPress  (Прочитано 894 раз)

0 Пользователей и 1 Гость смотрят эту тему.
MAzZY
Биоробот
Offline Offline

Сообщений: 860


Просмотр профиля WWW
« : 04 Август 2011, 10:18:59 »

Цитировать
Генеральный директор технологической компании Feedjit Марк Маундер (Mark Maunder) опубликовал в своем блоге информацию об обнаруженной им уязвимости в WordPress. По его словам, злоумышленники имеют возможность эксплуатировать часто используемое расширение web-платформы, с помощью которого можно получить контроль над web-сайтами жертв.

Уязвимость затрагивает практически все web-страницы, применяющие утилиту для изменения размера изображений TimThumb. По словам Маундера, данная утилита «небезопасна изначально», так как она упрощает работу хакеров по выполнению вредоносного кода.

Маундер обнаружил уязвимость после того, как его собственный web-сайт markmaunder.com был взломан. Страницы сайта неожиданно начали отображать рекламу неизвестного происхождения, хотя функция рекламы на сайте была отключена.

После тщательного расследования, он пришел к выводу, что злоумышленники использовали TimThumb для загрузки PHP-файла на одну из директорий сайта. Утилита, по словам Маундера, по умолчанию дает возможность удаленно загружать файлы из blogger.com, wordpress.com и еще пяти сайтов, без каких либо проверок.

«Если создать на web-сервере файл, подобный такому: http://blogger.com.somebadhackersite.com/badscript.php, а затем дать timthumb.php команду загрузить его, он сделает это и поместит его прямо в кеш, готовым к выполнению», - говорит Маундер.

Разработчики TimThumb работают над обновлением, закрывающим данную уязвимость.
http://www.securitylab.ru/news/406588.php

У многих из вас в шаблонах используется timthumb.php для создания миниатюр к записям. Лучший вариант - переделать шаблон под использование стандартных миниатюр вордпресса. Это не так сложно, просто придется пройтись по всем записям и установить для каждой миниатюру - порядка одной минуты на запись. Даже меньше.
Ну или следите за обновлением - http://code.google.com/p/timthumb/source/list
Записан

Починю Ваш сайтик или сделаю новый.
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Страниц: 1
  Печать  
 
Перейти в:  

| Sitemap