カテゴリー
WordPress

WordPressのテーマでゼロデイだって?!

 なんか,TwitterでScottが「WordPressのテーマでゼロデイだって」とつぶやいていた。時差はあるとはいえ,日付は2日になっているのに,Twitterをほとんど見ないので,今気づいたという体たらくなんだけど,チェックしてみたら自鯖のWordPressについては,問題なかった。

 XREAのほうの「ネットワークの作成」で使っているテーマを調べたら,「delicate」がthumb.phpという名で問題のtimthumb.phpを使っていたので,脆弱性を回避するための方法として書かれていたように,
    $allowedSites = array (
     ‘flickr.com’,
     ‘picasa.com’,
     ‘blogger.com’,
     ‘wordpress.com’,
     ‘img.youtube.com’,
    );
のところを$allowedSites = array ();に直した。/delicate/cacheにも,/tmpにも,幸いにして怪しいファイルはなかった。もし,ハックされてるかどうかは,WordPressのインストールディレクトリで,base64_decodeのあるファイルを確認する。base64_decode関数の括弧内にエンコード・ストリングの長いのが見つかったら,多分ハックされてるって。

追記:
 「セキュリティホール memo」さんでも報告があっていた。

追記2:
 A secure rewrite of timthumb.php as WordThumb (魚拓です) を読んでて気になったので,縦書き集のcURL関数に, curl_setopt ($curl, CURLOPT_TIMEOUT_MS,5000); を追加。PHP5.2.3未満,cURL7.16.2未満だと,CURLOPT_TIMEOUTじゃないと使えないだろう。value の適切な設定値が分からないので一応5秒に設定。

追記3(8/6):
 今回の脆弱性の修正が施されたTimThumb 2.0がリリースされた。
http://timthumb.googlecode.com/svn/trunk/timthumb.php ☜ Google Code のサービスの終了とともにリンク先も消えたので,今掲載しているのは,魚拓である。新しい TimThumb のリポジトリは GitHub にあるようだが……。(2016.5.13 追記)
で配布されている。私は,まだ未検証。帰宅後,試すつもりです。

追記4(8/6):
 帰宅後,試すつもりと書いたのだが,帰ってきてXREAのWordPress3.2にアクセスしたら,早くも,Delicateのバージョン: 3.4.4の通知が来ていた。早速アップデート。したのち,確認したら,thumb.php,custom-thumb.php,cacheがきれいさっぱりなくなっている。えーっ,それはないよ。timthumb.php ver.2.0が試せないじゃん。テストサイトだから,そんなとこまでローカル・バックアップ取っていないし。アップデート前に試してみるべきだった。アチャーッ。

「WordPressのテーマでゼロデイだって?!」への2件の返信

o6asanさん

こんばんわ<!>

イヤ、Xデイに非ずのゼロディですか<!>
こちらには関係してなくて良かったですが。

思うにそんな知識があるなら、良い方に使えばと。
私のパソコンなら、中身覗かれて、困るのデーターは無い筈ですが。

元々がパソコンにはパスワード無し。
大体が一々、邪魔くさいです。
オッとの、別途のパスワード等々は保管してるですが。
これはツールで、パスワード付きでして。

諸般、ホーム・ページを改竄されても困るです。

で、ウォッシュレットは一応の解決に向かってるみたいで、良かったですねえ。
私はボーカン者ですが。

シバケンさん,おはようございます。

> ゼロディですか<!>
> こちらには関係してなくて良かったですが。

シバケンさんのところには,今回の脆弱性は関係ないでしょうね。
ただ,timthumb.phpというPHPスクリプトが使われているのはWordPressばかりではないようで,元ページでのコメントにもその件に触れたものが見られました。

また,今朝,修正版が出されたようです。
http://timthumb.googlecode.com/svn/trunk/timthumb.php ☜ Google Code のサービスの終了とともにリンク先も消えたので,今のリンク先は魚拓である。新しい TimThumb のリポジトリは GitHub にあるようだが……。(2016.5.13 追記)

>思うにそんな知識があるなら、良い方に使えばと。

原作者と協力して修正版を作った方のように,よいほうに使う方も,アタックをかけた人のように,悪いほうに使う人もいますね。

> で、ウォッシュレットは一応の解決に向かってるみたいで、良かったですねえ。

なかなか手ごわくて,難航しています。正直なところ,お盆が困るのですが……
こんなに手間取るとは思いませんでした。(泣)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です