なんか,TwitterでScottが「WordPressのテーマでゼロデイだって」とつぶやいていた。時差はあるとはいえ,日付は2日になっているのに,Twitterをほとんど見ないので,今気づいたという体たらくなんだけど,チェックしてみたら自鯖のWordPressについては,問題なかった。
XREAのほうの「ネットワークの作成」で使っているテーマを調べたら,「delicate」がthumb.phpという名で問題のtimthumb.phpを使っていたので,脆弱性を回避するための方法として書かれていたように,
$allowedSites = array (
‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
);
のところを$allowedSites = array ();に直した。/delicate/cacheにも,/tmpにも,幸いにして怪しいファイルはなかった。もし,ハックされてるかどうかは,WordPressのインストールディレクトリで,base64_decodeのあるファイルを確認する。base64_decode関数の括弧内にエンコード・ストリングの長いのが見つかったら,多分ハックされてるって。
追記:
「セキュリティホール memo」さんでも報告があっていた。
追記2:
A secure rewrite of timthumb.php as WordThumb (魚拓です) を読んでて気になったので,縦書き集のcURL関数に, curl_setopt ($curl, CURLOPT_TIMEOUT_MS,5000); を追加。PHP5.2.3未満,cURL7.16.2未満だと,CURLOPT_TIMEOUTじゃないと使えないだろう。value の適切な設定値が分からないので一応5秒に設定。
追記3(8/6):
今回の脆弱性の修正が施されたTimThumb 2.0がリリースされた。
http://timthumb.googlecode.com/svn/trunk/timthumb.php ☜ Google Code のサービスの終了とともにリンク先も消えたので,今掲載しているのは,魚拓である。新しい TimThumb のリポジトリは GitHub にあるようだが……。(2016.5.13 追記)
で配布されている。私は,まだ未検証。帰宅後,試すつもりです。
追記4(8/6):
帰宅後,試すつもりと書いたのだが,帰ってきてXREAのWordPress3.2にアクセスしたら,早くも,Delicateのバージョン: 3.4.4の通知が来ていた。早速アップデート。したのち,確認したら,thumb.php,custom-thumb.php,cacheがきれいさっぱりなくなっている。えーっ,それはないよ。timthumb.php ver.2.0が試せないじゃん。テストサイトだから,そんなとこまでローカル・バックアップ取っていないし。アップデート前に試してみるべきだった。アチャーッ。
「WordPressのテーマでゼロデイだって?!」への2件の返信
o6asanさん
こんばんわ<!>
イヤ、Xデイに非ずのゼロディですか<!>
こちらには関係してなくて良かったですが。
思うにそんな知識があるなら、良い方に使えばと。
私のパソコンなら、中身覗かれて、困るのデーターは無い筈ですが。
元々がパソコンにはパスワード無し。
大体が一々、邪魔くさいです。
オッとの、別途のパスワード等々は保管してるですが。
これはツールで、パスワード付きでして。
諸般、ホーム・ページを改竄されても困るです。
で、ウォッシュレットは一応の解決に向かってるみたいで、良かったですねえ。
私はボーカン者ですが。
シバケンさん,おはようございます。
> ゼロディですか<!>
> こちらには関係してなくて良かったですが。
シバケンさんのところには,今回の脆弱性は関係ないでしょうね。
ただ,timthumb.phpというPHPスクリプトが使われているのはWordPressばかりではないようで,元ページでのコメントにもその件に触れたものが見られました。
また,今朝,修正版が出されたようです。
http://timthumb.googlecode.com/svn/trunk/timthumb.php ☜ Google Code のサービスの終了とともにリンク先も消えたので,今のリンク先は魚拓である。新しい TimThumb のリポジトリは GitHub にあるようだが……。(2016.5.13 追記)
>思うにそんな知識があるなら、良い方に使えばと。
原作者と協力して修正版を作った方のように,よいほうに使う方も,アタックをかけた人のように,悪いほうに使う人もいますね。
> で、ウォッシュレットは一応の解決に向かってるみたいで、良かったですねえ。
なかなか手ごわくて,難航しています。正直なところ,お盆が困るのですが……
こんなに手間取るとは思いませんでした。(泣)