Timthumb.php est un script php très pratique qui permet de redimensionner automatiquement les images affichées sur un blog WordPress.
Les auteurs du script viennent de révéler que ce dernier contenait une faille qui permettait à une personne tierce d’exécuter du code php sur le serveur du blog. On imagine aisément les conséquences d’un tel acte.
Quelle est la faille ?
Celle ci serait une faille « zero-day », à savoir une faille non corrigée (une nouvelle en gros).
Il semblerait que cette faille concerne le répertoire cache utilisé par le script, et le filtre des sites de confiance pour télécharger les images. Pour résumer, le filtre n’est que partiel, ce qui fait qu’un utilisateur mal intentionné peut uploader un script php et l’exécuter dans le répertoire de cache.
Votre blog WordPress est il concerné par cette faille ?
La plupart des thèmes utilisent Timthumb.php, vous pouvez vérifier facilement si c’est le cas pour votre blog. Il suffit de rechercher le fichier sur votre serveur via la commande :
find . -name ‘timthumb.php’
Si vous obtenez un résultat positif, ouvrez votre fichier, toutes les versions de timthumb.php ne sont pas concernées. Pour vérifier si votre version contient la faille, il suffit de chercher la variable $allowedSites.
Elle devrait ressembler à ça :
$allowedSites = array (
'flickr.com',
'picasa.com',
'blogger.com',
'wordpress.com',
'img.youtube.com',
'upload.wikimedia.org',
);
Vous avez maintenant deux solutions :
– Changer la variable en $allowedSites = array (); (Attention il y a un risque que certaines de vos images ne soient plus redimensionnées après cette modification).
– Télecharger la nouvelle version de Timthumb.php (méthode la plus propre, mais comme d’habitude faites bien une sauvegarde avant)
Quid de la sécurité des modules/plugins/scripts… ?
Il faut avoir conscience que même les scripts les plus utilisés ont des failles. Bien évidemment vu la quantité phénoménales de modules/plugins/bibliothèques… qui existent sur les CMS tels que WordPress, Joomla… chaque ajout d’un élément tiers pour contenir une faille de sécurité.
Si vous tenez à la sécurité de votre site (parce qu’il contient un des données privées par exemple), faites appel à des professionnels.
Une faille qui risque de faire des ravages.
Ping : Attention ! Faille de sécurité via timthumb.php sur les blogs Wordpress | Socializ - Blog sur le Community Management, Stratégie réseaux sociaux et Marketing Alternatif - Dijon
Bonjour,
Merci pour votre article.
Il se trouve que j’étais dans le cas…
Problème corrigé 🙂
Ping : un virus pour wordpress « 3615GEEK
Merci pour cette explication claire et efficace ^^
« C’est le prix à payer pour avoir du gratuit ! »
Le lowcost à un prix ! C’est la dernière fois que je prendrais un thème gratuit 😉 Il faudrait que les hébergeurs (OVH..) soient au courant de ce genre de failles, ça m’a pris la journée pour trouver ça dans mes logs ;-(
Voici la faille qui m’a fait le plus mal depuis 2 bonnes années. Je me suis fait avoir à deux reprises sur deux blogs différents (1 semaine d’intervalle), et ca a foutu en l’air tout ce que j’avais (suppression des sites et de mon espace perso chez mon herbergeur). Désormais, je suis de près toutes les possibilités d’attaque pour éviter de me faire avoir… Et effectivement, cela partait d’un thème gratuit !
Les thèmes gratuits sont souvent avec du code « indésirable » notament en base64, si ca interesse du monde c’est très courant d’en trouver dans les thèmes tout prêt que l’on trouve sur notre amis google
http://www.laintimes.com/php-base64-decoder-simplement-le-contenu/
Ping : Une Faille importante dans wordpress « Se Former pour Réussir
[…] Socializ et vous invite à surveiller vos blogs’ et No Panique ‘ un début de réponse ici ! Le hasard fait bien les chosesDijon dans le Top10 des villes les plus représentées sur […]