Es gibt vieles Themes und Plugins, darunter auch Premium-Themes z.B. von StudioPress oder Elegant Themes welche das PHP-Script timthumb benutzen, um z.B. Vorschaubilder zu erzeugen oder Bilder zuzuschneiden.
Dieses Script enthält aber eine schwerwiegende Sicherheitslücke welche praktisch kompletten Zugriff auf das ganze Blog bietet.
Jeder sollte also überprüfen, ob von ihm verwendete Themes oder Plugins die Datei timthumb.php mitbringen. Falls ja, sollte man diese Datei unbedingt erst einmal löschen, bis eine korrigierte Version von timthumb verfügbar ist.
Ebenso sollte der Blog auf Hacks geprüft werden (z.B. vorher nicht da gewesene base64-Codes.
Nachtrag: Eine aktualisierte Version (1.34) der Datei timthumb.php ist wohl bereits verfügbar. Zum Download der Datei. Wir empfehlen den Austausch der alten timthumb.php auf eurem Server (falls vorhanden) mit dieser neuen Version.
Nachtrag: Es gibt eine (nicht vollständige!) Liste mit Themes, welche timthumb benutzen.
David
3. August 2011 um 16:19
Als Ergänzung: alle *aktuellen* Themes von StudioPress enthalten dieses Script NICHT, d.h. alle Genesis Child Themes seit 2010! Genesis benutzt ausschließlich die Artikel-/ Seitenbilder (post_thumbnail) des WordPress-Core. Man hat sich des besagten Scripts in den sogen. “Classic Themes” bedient, die sind jedoch *nicht mehr* im Angebot seit letztem Frühjahr. …aber natürlich noch bei vielen Sites im Einsatz. Daher, dennoch auf jeden Fall prüfen!!!
Spanksen
3. August 2011 um 16:29
Hallo, ich verstehe leider im Moment nur Bahnhof. Ich benutze ein Elegant Themes Theme, allerdings habe ich mein Abo dort im Mai gekündigt und kann jetzt gar nicht mein Theme mehr updaten. Wie wirkt sich das denn aus auf meinen Blog wenn ich die Datei (im FTP Ordner?) lösche???
Jeriko
3. August 2011 um 16:52
Es gibt bereits eine aktualisierte Version 1.34, die per Default gar nicht erst zulässt, Dateien von externen Domains zu benutzen sowie den Host via Regular Expression (davor strpos) checkt.
jottlieb
3. August 2011 um 17:07
@Jeriko:
Danke für den Hinweis.
Spanksen
3. August 2011 um 17:30
Hey Jeriko, auch von mir danke für den Hinweis. Wenn du mir jetzt vielleicht noch kurz erklären könntest….was ich mache muss
Sorry, bin da totaler noob
jottlieb
3. August 2011 um 17:50
@Spanksen:
Einfach die vorhandene timthumb.php mit der neuen Version ersetzen.
Spanksen
3. August 2011 um 19:28
Ahh super, danke!!!
Michael
4. August 2011 um 11:35
was ist mit plugins die timthumb.php benutzen? ich habe im geotag plugin von Boris Pulyer die datei entdeckt…
jottlieb
4. August 2011 um 11:48
@Michael:
Für Plugins gilt genau das Gleiche. In unserem Artikel erwähnen wir auch explizit Plugins.
Michael
4. August 2011 um 11:57
muss mal wieder einen lesen-kurs besuchen…
THX
David
4. August 2011 um 15:51
Betroffene Themes vom WP.org Repository sind auf einer Seite von sucuri.net aufgelistet, einer US-Firma, die sich u.a. der Sicherheit von WP verschrieben hat:
http://blog.sucuri.net/2011/08/timthumb-security-vulnerability-list-of-themes-including-it.html
Es lohnt sich bestimmt, zu schauen, ob das eigene Theme darunter ist, oder ob man eine Abwandlung dessen benutzt oder ein Child Theme davon…
Wie US-Site WPCandy.com berichtet, ist wohl in der Diskussion das TimThumb-Skript in die Sicherheitsüberprüfung aller Themes bei WP.org einfließen zu lassen. Bzw. kann es auch sein, dass solches Themes dort gesperrt oder entfernt werden bzw. die Autoren erst ihre jeweiligen Themes aktualisieren müssen, ehe sie wieder freigegeben werden. Könnte evtl. bald passieren…
Wie gesagt, dies nur als weiterführende Infos, ohne jegliche Garantie!
Glück auf, David
Andreas
5. August 2011 um 04:42
@all:
Im Zingiri Webshop Plugin habe ich die Datei auch gefunden. Der Changelog des Pplugins funktioniert derzeit nicht, daher habe ich keine Ahnung, ob die Datei bereits geändert wurde.
Stefan
5. August 2011 um 10:45
Die oben gepostete Datei (aktualisierte Version (1.34)) beinhaltet immer noch die schwerwiegende Sicherheitslücke.
Mark Maunder erklärt auf seinem Blog was geändert werden muss.
Sicherheitsrelevante Grüße
Stefan
Detlef
5. August 2011 um 19:51
Hallo,
kurze Frage.
Wie find ich den diese base64-Codes Dateien auf meinem Server????
Frank Sertic
6. August 2011 um 08:46
Ich würde mich gar nicht auf irgendwelche Listen verlassen.
Einfach die Festplatte nach timthumb.php durchsuchen lassen.
Unter Linux ein:
locate timthumb.php
ausführen.
Um zu sehen ob locate überhaupt funktioniert einfach mal eingeben:
locate wp-admin
Damit wird alles aufgelistet wo die Datei, in diesem Beispiel timthumb.php oder wp-admin, liegt.
TmoWizard
6. August 2011 um 09:32
Hallöchen zusammen!
Ihr habt da oben auf eine Liste mit Themes verlinkt, die diese Datei haben sollen. Kurz mal nach gesehen und tatsächlich steht das von mir verwendete Calotropis von itx da auf der Liste. Da steht ja sogar der Pfad dabei, wo diese fehlerhafte Datei sein soll und wie sie bei Calotropis heißt.
Nur gibt es da einen klitzekleinen Fehler: Diese Datei gibt es dort gar nicht und hat es dort auch nie gegeben!
Ich werde versuchen, daß ich mit meinen leider sehr geringen englisch-Kenntnissen den Autor der Liste darauf anspreche. Entweder heißt die Datei anders oder sie wird nicht verwendet. Ich hoffe, daß ich mich dort richtig verständlich machen kann!
Grüße aus Augsburg
Mike, TmoWizard
Michi
7. August 2011 um 20:20
Elegant Themes hat das Problem bereits behoben und alle Templates können neu heruntergeladen- und geupdated werden. Update ist auch über Dashboard möglich. Ein Bachup ist zu empfehlen. Ich hatte einige Datein angepasst und musste diese dann nach dem Update überschreiben…
Tilo
9. August 2011 um 22:40
Danke, hab direkt mal die neue Version geladen!
Josef
11. August 2011 um 11:29
Aber dann muss man doch alles wieder anpassen (header Bilder etc.) Reicht es nicht wenn man einfach die neue timthumb.php installiert.
jottlieb
12. August 2011 um 09:03
@Josef:
Genau das haben wir doch gesagt.
Gürkan
12. August 2011 um 12:50
Würde dies auch so funktionieren, das ich das jetztige Theme einfach lösche und das neue Theme (von Elegant Themes das ja in der zwischenzeit schon wieder korriegiert wurde) wieder hochlade? (ich bin noch abonnent da daher könnte ich doch einfach das korrigierte theme nehmen?)
Ich habe dabei einfach nur Angst das wenn ich das jetztige Theme lösche und danach wieder das neue rauf mache, das evtl. irgendwelche Beiträge weg sind oder diese Vorschaubilder nicht mehr existieren, kann das passieren oder wird alles wieder hergestellt wenn das neue Theme drauf ist?
jottlieb
12. August 2011 um 19:51
@Gürkan: Warum das Theme löschen? Es liegt ja nur ein einer Datei.
Beiträge gehen nicht verloren, aber eventuell individuelle Theme-Einstellungen.
Gürkan
13. August 2011 um 13:20
Hallo jottlieb,
Wie und wo kann ich diese Datei löschen?Im welchem Order liegt diese genau?
Und wo bekomme ich dann die neue Datei?
Danke für deine Antwort.
Gustafsson
15. August 2011 um 10:23
Moin, wie kann ich denn alle meine Blogs am effizientesten auf schädliche base64-Codes überprüfen, resp. auf was genau muß ich denn achten ??
volker
17. August 2011 um 22:00
Zu Frank (#15):
Guter Tip!!
Mein WP-Theme steht auch auf der Liste von ‘sucuri’, im FTP findet sich nichts,
und bei der Suche auf der Festplatte finden sich in ‘constructor in 2 Files die Verweise auf timthumb.php, einmal auskommentiert und einmal als (folgenloser!) Aufruf aus js !
Es hat halt jeder seine eigenen Ermittlungsmethoden und nicht alle müssen im ‘Erfolgsfalle’ deshalb schon andere an den Pranger stellen!
volker
Andreas
17. August 2011 um 23:14
Danke für den “Nachtrag”. Besonders die Liste ist mir gerade eine Hilfe.
Marcus
21. August 2011 um 08:41
Und jetzt schaut mal in eure server logs rein, wie wild die wordpress-seiten abgescannt werden in den Verzeichnissen themes und plugins…
Die Liste hilft ja noch den Angreifer perfekt zum Suchen…
Oguzhan Cansever
11. September 2011 um 18:13
Super Beitrag! Ich habe inzwischen herausgefunden, dass mein Theme auch timthumb benutzt. Ich habe jetzt mit der neuen Version ersetzt. Danke nochmals
Kai
4. November 2011 um 13:33
timthumb heisst in manchen themes, z.b. bei woo, nur thumb.php. sie befindet sich direkt im theme ordner ode rin unterordnern. die datei muss manuell geupdated werden. es gibt ein sehr gutes plugin was dieses ausführt.
Anleitung und Informationen zum schliessen der timthumb Sicherheitslücke auf http://www.seofaq-online.de
viele grüße