Jump to content

O TimThumb novamente. Tinha que ser o Chaves do 8...


eulergui

Recommended Posts

Pessoal, saiu um 0-day para o timthumb.php que, novamente, é bastante perigoso.

 

Dêem uma olhada em:

http://www.exploit-db.com/exploits/33851/

 

Pra quem não conhece, o timthumb.php é um script utilizado por MUITOS designers em temas para Wordpress (e alguns Joolma). Trata-se de uma biblioteca para gerar uma miniatura da imagem "on-the-fly". Da outra vez que descobriram uma falha desse nível no próprio timthumb, vi algumas empresas de hospedagem sendo fechadas porque tiveram tudo apagado por algum cidadão mal intencionado.

 

Fiquem de olho e, caso encontrem esse script no servidor, removam o mais rápido possível. É sério.

Link to comment
Share on other sites

A propósito, tem como fazer algum tipo de bloqueio pra que o servidor não rode nenhum script chamado "timthumb.php" ou "thumb.php"? Eu fiz a varredura manual aqui e felizmente nenhum cliente meu usa essa praga... mas vai que algum resolve utilizar ou chega cliente novo com esse script no site...

Link to comment
Share on other sites

não poderia ser criada uma regra no modsecurity?

 

Segue uma regra que utilizo, caso deseje efetuar testes ou adaptações:

 

Antes verifique se já não possui uma regra com ID '400000', que é o número da regra abaixo.

# Rule 400000 - Timthumb vulnerability
SecRule REQUEST_URI "(?:timthumb|thumb|resize|thumbnail|crop)\.php" "deny,id:400000,log,auditlog,phase:2,status:412,chain,msg:'Thimthumb Vulnerability',severity:ALERT"
SecRule ARGS:src "(?:flickr\.com|picasa\.com|blogger\.com|wordpress\.com|youtube\.com|wikimedia\.org|photobucket\.com)"
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?