Biztonsági rés a kép-átméretező timthumb-ban

Már jóval korábban meg kellett volna írnom ezt a bejegyzést (mea culpa…), de egyszerűen nem volt időm rá. Az Elegant Themes-től kaptam egy figyelmeztetést, hogy az automatikus kép-átméretező fájlban, a timthumb.php-ban komoly biztonsági rést fedeztek fel, amelyen keresztül rosszindulatú kódokat lehet elhelyezni az oldaladon.

Ezt a kis segédprogramot használja az Elegant Themes valamennyi sablonja (amikor feltöltesz egy képet a bejegyzéshez, és az különböző méretekben jelenik meg a diavetítésben, az index oldalakon és a bejegyzésben magában), illetve sok más sablon is. Erősen javaslom, hogy töltsd le a fájl javított változatát: http://timthumb.googlecode.com/svn/trunk/timthumb.php (a project oldala egyébként: http://code.google.com/p/timthumb/), majd keresd meg a sablonodban ezt a fájlt és írd felül a friss változattal.

 

Oszd meg Te is:

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn

Ezek is érdekesek lehetnek számodra: 

Iratkozz fel hírlevelünkre!

Javasolt eszközök:

Banner250x250.png
Elementor Pro
Generatepress Logo White Asset
GeneratePress
Divi 4.0
Divihello
Prémium támogatás és ajándék Divi licence
Adatvedelem.png
ADATVÉDELEM minta
Aszf.png
Webshop ÁSZF minta

“Biztonsági rés a kép-átméretező timthumb-ban” bejegyzéshez 4 hozzászólás

  1. Bár először elrettentett hogy a bejegyzés haladóknak szól, én meg épp hogy befejeztem a kezdő tanfolyamot, de úgy látszik bátorságot is nyerünk nálad:) letöltöttem, kicseréltem, az oldalam még nem omlott össze, úgyhogy bízom benne, hogy rendben van a dolog. Köszi, hogy vigyázol ránk!

  2. Nekem elegant themes oldalaim vannak és be is kaptam egy vírust “valahogy” augusztusban, szerencsére a szolgáltató hamar javította, de választ arra, hogy védekezni a jövőben hogyan tudok a hasonlóak ellen, nem tudtak adni. Tőled most ez is magvan, ezer hála!!:-)

    • Én is rátettem mindegyik oldalamra, ahol timthumb van (meg az ügyfeleim oldalára is), és végigfutottam gyorsan a js alkönyvtárakat, ahol a scriptek vannak. Első blikkre is látszik, ha volt támadás: ha a dátumuk nem azonos a sablon többi fájljának dátumával, akkor megváltozott, azaz megtámadták. Ilyen esetben egyszerűen fel kell másolni az eredeti js fájlokat a megtámadottak helyére. Ha nagyobb a gond, akkor kellhet a tárhelyszolgáltató segítsége is.

Szólj hozzá!

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..