WordPress Angriff

Erneute Sicherheitslücke bei TimThumb

Share on Facebook0Tweet about this on Twitter13Share on Google+0Share on LinkedIn1Email this to someone

Das beliebte PHP-Script TimThumb wurde erneut Opfer einer Sicherheitslücke, die sich auf das integrierte Feature „WebShot“ bezieht. TimThumb, mit dem Bilder in WordPress individuell angepasst werden können, wird von vielen Plugins und Themes genutzt und ist aus diesem Grund ein beliebtes Ziel für Hacker.

wordpress angriff

© panthermedia.net /Benoit aetb

Was ist TimThumb?

TimThumb ist ein quelloffenes Erweiterungs-Script für WordPress, mit dem ihr ganz leicht Thumbnails generieren und viele weitere Größenänderungen an euren Bildern vornehmen könnt. Es basiert auf PHP und wird von zahlreichen freien sowie auch kostenpflichtigen WordPress-Themes genutzt. Besonders für Blogs mit regelmäßig wechselnden Inhalten, für die eine Vielzahl an Bildern in verschiedenen Größen und Auflösungen benötigt werden, bietet sich das Addon an. Hervorgehoben werden oftmals die einfache Anwendung sowie eine Reihe an Features, die die Erweiterung enthält. Seinen Namen hat das WordPress-Addon Tim McDaniels, einem der ursprünglichen Initiatoren sowie dem Begriff „Thumbnail“, einem Vorschaubild, zu verdanken. Den Code der aktuellen Version des Scripts findet ihr hier. Möchtet ihr euch intensiver mit den Funktionen von TimThumb auseinandersetzen, empfehlen wir euch folgende Seite, auf der ihr eine Liste der verschiedenen Parameter findet sowie ausführliche Tutorials der verschiedenen Funktionen.

Sicherheitslücke bei TimThumb

Bereits 2011 wurde eine gravierende Sicherheitslücke in der Erweiterung bekannt, die es Hackern ermöglichte aus der Ferne einen eigenen PHP-Code auf den betroffenen Server zu laden. Damit konnten sie im schlimmsten Fall die vollständige Kontrolle über den Server erlangen. Als Problemlösung wurde damals das Plugin „Vulnerability Scanner“ entwickelt, welches die timthumb.php überprüfen und anschließend fixen sollte. Anfang dieses Jahres berichtete Heise ebenfalls über TimThumb und nannte die Erweiterung als eines der beliebtesten Ziele für WordPress-Angreifer.

Neues Feature: WebShot

Aufgrund dieses Zwischenfalls führte TimThumb anschließend ein neues Feature ein, das sogenannte WebShot. Die Funktion knüpft an die hauptsächliche Nutzung der WordPress-Erweiterung an, mit der Bilder automatisch vergrößert, verkleinert oder beschnitten werden können. WebShot ermöglicht euch den Zugriff auf beliebige Websites, lässt diese rendern und wandelt sie anschließend in einfache Screenshots um. Verwendete Tools dafür sind z.B. die Rendering-Engine WebKit sowie die Anwendung Qt.

Erneute Warnung für WordPress Nutzer

Nun wurde vor ein paar Tagen abermals ein Sicherheitsproblem in TimThumb verkündet, das es Nutzern erneut ermöglicht bösartige Befehle auf infizierten Servern auszuführen. Entdeckt wurde die Sicherheitslücke von Pichaya Morimoto innerhalb des WebShot-Features der Plugin-Version 2.8.13. Da diese optionale Funktion von TimThumb standardmäßig deaktiviert ist, betrifft es glücklicherweise nur die Installationen mit aktiviertem WebShot-Feature, was die Anzahl an betroffenen Websites etwas eingrenzt. Das TimThumb-Script wird mittlerweile von einer Vielzahl an WordPress-Plugins genutzt, wie z.B. dem WordPress Gallery Plugin oder dem IGIT Posts Slider Widget wie auch von vielen WordPress-Themes.

Was nun?

Um die aktuell betroffene WebShot-Funktion zu deaktivieren, müsst ihr lediglich auf eurem Server die timthumb.php in eurem WP-Content Ordner öffnen und nach der Funktion „WEBSHOT_ENABLED“ suchen. Hier müsst ihr das dahinterstehende Attribut „true“ in „false“ abändern.

Ihr solltet das Script unbedingt weiterhin auf die neuste Version aktualisieren sowie regelmäßig nach neuen Updates schauen. Ein Versionsupdate auf 2.8.14 soll die Sicherheitslücke beheben und wird über die TimThumb Homepage bereitgestellt.

Wie seht ihr das Ganze? Nutzt ihr TimThumb überhaupt noch?


Richard Schwerthalter

Richard Schwerthalter

Ich arbeite gerne an neuen Projekten, insbesondere der Erstellung und Optimierung von Websites. Mit WordPress arbeite ich schon längere Zeit und habe bereits einige Erfahrungen sammeln können.
Richard Schwerthalter

Letzte Artikel von Richard Schwerthalter (Alle anzeigen)

Share on Facebook0Tweet about this on Twitter13Share on Google+0Share on LinkedIn1Email this to someone

Schreibe einen Kommentar

Pressengers lebt von der Wordpress Community, beteilige dich mit einem Kommentar!
Deine E-Mail Adresse wird nicht veröffentlicht.

Achtung: Mit dem Absenden eines Kommentars erklärst du dich damit einverstanden, dass alle eingegebenen Daten und deine IP-Adresse zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Möglichkeiten des Widerrufs..