Sicherheitslücke in PHP-Skript bedroht 39 Mio. WordPress-Blogs
Der WordPress-Blogger Mark Maunder wurde gestern von seinem WordPress Backend mit den Worten „Congratulations, you’re a winner“ begrüßt nachdem er ein Bild hochgeladen hatte und staunte natürlich nicht schlecht. Nach einiger Suche nach der Ursache wurde er fündig: Sein Blog wurde gehackt. Irgendwie war es einem Unbekannten gelungen Zugriff auf seine WordPress-Installation zu bekommen und im Hintergrund ohne sein Wissen oder Zutun Ad-Impressions zu sammeln.
Wie sich später herausstellte, war dafür ein kleines PHP-Skript mit dem Namen timthumb.php verantwortlich, das in dem von ihm verwendeten Theme für die Größenanpassung hochgeladener Bilder verantwortlich ist. Irgendwie war es dem Angreifer gelungen dem Skript statt eines Bildes ein PHP-File unterzuschieben. So zumindest die stark vereinfachte Kurzversion. Mark Maunder beschreibt den Angriff auf sein Blog in einem Post sehr viel genauer und gibt zudem detaillierte Hinweise, wie man die Lücke zumindest solange provisorisch stopft, bis ein Patch für timthumb vorliegt.
Ob das eigene WordPress-Blog ebenfalls zu den etwa 39 Millionen bedrohten Blogs gehört, erfährt man durch eine Suche nach timthumb.php im Ordner wp-content der eigenen WP-Installation. Wer dort fündig wird, sollte die Anleitung von Mark Maunder befolgen, mit der man timthumb verbieten kann, andere als lokale Bilder zu nutzen.
Hier geht’s zur Beschreibung der Sicherheitslücke in WordPress-Blogs.
Weiterführende Links zum Thema WordPress und Sicherheit:
- WordPress Security-Tipps: So machst Du das CMS sicher - t3n News
- WordPress.com: Hacker verschaffen sich Zugriff auf Server - t3n News
- WordPress: Mehr als 50 Millionen Sites basieren darauf - t3n News
21 Answers
von Ralf Hortt 02.08.2011 (15:40Uhr) 1.
Man sollte hier vorsichtiger mit der Wortwahl sein, da das Problem nicht an WordPress liegt, würde ich deher von Blogs sprechen. Auch viele andere Blog Engines können den Dienst nutzen.
Der Ruf von WordPress wird unnötig strapaziert.
von Falk Hedemann 02.08.2011 (15:46Uhr) 2.
@Ralf Hortt: daher habe ich ja gleich in der Einleitung darauf hingewiesen, dass es sich um keine WordPress-Sicherheitslücke handelt ;-) Und liegt es doch völlig fern den Ruf von WordPress zu schädigen.
von Andreas 02.08.2011 (15:53Uhr) 3.
Nicht nur Themes sind davon betroffen, sondern auch einige Content Slider. Dort wird ebenfalls gerne TimThumb verwendet. Also nicht nur die Themes im wp-content Ordner prüfen, sondern auch entsprechende Plugins. Im Übrigen ist er bisher der einzige, der davon betroffen ist. Das macht mich schon ein wenig stutzig.
von Falk Hedemann 02.08.2011 (15:59Uhr) 4.
@Andreas: Danke für Deine gute Ergänzung. Ob er nun der einzige ist, der betroffen ist, weiß ich nicht. Vielleicht ist es bei anderen nur noch nicht aufgefallen?
von Andreas 02.08.2011 (16:30Uhr) 5.
@Falk
Bei der hohen Verbreitung von Timthumb glaube ich das irgendwie nicht so recht. Das kommt ja nicht nur in WordPress zum Einsatz und da haben ja schon zig tausend Coder mit gearbeitet. Es würde mich nicht wundern, wenn der da eine modifizierte Version erwischt hat und dadurch diese Sicherheitslücke entstanden ist. Zu Timthumb gibt es nun auch etliche Anleitungen zu Hacks und Modifikationen, da ist so was mal schnell passiert.
Ist ja nicht das erste Mal, das einem Plug-in gleich die Schuld in die Schuhe geschoben worden ist. Aber alles reine Spekulation, mir kommt es halt etwas arg komisch vor ;-)
von daily essence: iCloud, VoD, digitales Ra… 02.08.2011 (16:50Uhr) 6.
[...] zum Anpassen der Bildgröße zurück greift: das Skript hat eine Sicherheitslücke, durch die sich Dritte Zugang zum Blog verschaffen können. Mark Maunder, der die Lücke entdeckt hat, beschreibt wie man sie zumindest provisorisch [...]
von daily essence: iCloud, VoD, digitales Ra… 02.08.2011 (16:50Uhr) 7.
[...] zum Anpassen der Bildgröße zurück greift: das Skript hat eine Sicherheitslücke, durch die sich Dritte Zugang zum Blog verschaffen können. Mark Maunder, der die Lücke entdeckt hat, beschreibt wie man sie zumindest provisorisch [...]
von formmail.pl 02.08.2011 (18:00Uhr) 8.
Schon das formmail.pl hatte solche Probleme... . Vor 15-19 Jahren... .
Schon traurig :-(
Gerade bei heise: "Massenweise osCommerce-Shops gehackt". (wenn auch durch eine andere Lücke)
Sicherheitslücken zu verdrängen ist schon lange nicht mehr akzeptabel weil die Blogs und Shops vermutlich automatisch durchgecheckt und markiert und übernommen werden. Das Problem ist allerdings, das die Shops oder Blogger keine Ahnung haben und die Opfer Probleme bekommen. Rentner die nicht mehr ins Web gehen, weil sie zu alt sind und nicht wirklich brauchen haben immer mehr Recht.
Das Web ist wie eine Einkaufsstraße ohne Lebensmittel-Kontrolle und ohne Gewerbe-Kontrolle oder LKW- und Autobus-Flotten oder Eisenbahnen ohne TÜV: Eine Todesfalle.
von Wordpress: Sicherheitslücke in einigen… 02.08.2011 (18:35Uhr) 9.
[...] die offenbar über Themes Code in fremde Blogs einschleusen lässt. Konkret betroffen sind nach Informationen von t3n-News etwa 39 Millionen [...]
von Thomas Scholz 02.08.2011 (22:34Uhr) 10.
@Andreas Was meinst du mit »modifiziert«? Die Lücke wird im Artikel beschrieben, und du kannst sie dir im Quellcode ansehen. Nachvollziehen kannst du sie auch, wenn du möchtest.
Im Übrigen finde ich den Titel dieses Artikels auch sehr irreführend.
von » Was ich eben auf dem Server losg… 03.08.2011 (01:24Uhr) 11.
[...] Server losgelassen habe, war ein find . -name timthumb.php, zum Glück ohne Ergebnisse. Warum? Na, weil gerade massenhaft WordPress-Blogs über eine Lücke in einigen Themes geowned werden. Also, WordPress-Nutzer, schaut doch auch mal nach! [...]
von 39 Mio. WordPress-Blogs von Sicherheitsl… 03.08.2011 (09:19Uhr) 12.
[...] den Originalbeitrag weiterlesen: 39 Mio. WordPress-Blogs von Sicherheitslücke bedroht » t3n News Bookmarken Sie uns, Danke! Mit Klick auf diese Icons kann man diese Webseite mit anderen [...]
von Millionen Blogs von Wordpresslücke bedr… 03.08.2011 (11:48Uhr) 13.
[...] titelte gestern T3N einen Artikel (Link). Sowas schockt natürlich erstmal, ach etwas Recherche liegt dir Ursache in einem kleinem [...]
von Gablenberger-Klaus-Blog » Blog Arc… 04.08.2011 (09:00Uhr) 14.
[...] Er hat auch gleich Infos: perun.net/2011/08/04/wordpress-themes-die-von-der-timthumb-sicherheitsluecke-betroffen-sind t3n.de/news/39-mio-wordpress-blogs-sicherheitslucke-bedroht [...]
von TYPO3 Weblog Integration, oder doch lieb… 06.08.2011 (14:30Uhr) 15.
[...] ist jedoch diese Erweiterbarkeit durchaus auch manches Mal ein Problem. Erst vor kurzem gab es eine kritische Sicherheitslücke in einem sehr weit verbreitetem WordPress Plugin, welches das Ausführen von externen PHP-Code [...]
von TYPO3 Weblog Integration, oder doch lieb… 06.08.2011 (14:30Uhr) 16.
[...] ist jedoch diese Erweiterbarkeit durchaus auch manches Mal ein Problem. Erst vor kurzem gab es eine kritische Sicherheitslücke in einem sehr weit verbreitetem WordPress Plugin, welches das Ausführen von externen PHP-Code [...]
von Protokoll vom 06. August 2011beiTrackbac… 06.08.2011 (16:57Uhr) 17.
[...] 39 Millionen WordPress-Blogs von Sicherheitslücke bedroht [...]
von Schiffblogger 07.08.2011 (12:29Uhr) 18.
Danke für die Info. Dateien sind gefixt.
von WordPress 3.3: Die neuen Features in der… 12.08.2011 (14:08Uhr) 19.
[...] 39 Mio. WordPress-Blogs von Sicherheitslücke bedroht - t3n News [...]
von WordPress 3.3: Die neuen Features in der… 12.08.2011 (14:08Uhr) 20.
[...] 39 Mio. WordPress-Blogs von Sicherheitslücke bedroht - t3n News [...]
von Thomas 13.02.2012 (17:21Uhr) 21.
Gut zu wissen.... Danke