なんか,TwitterでScottが「WordPressのテーマでゼロデイだって」とつぶやいていた。時差はあるとはいえ,日付は2日になっているのに,Twitterをほとんど見ないので,今気づいたという体たらくなんだけど,チェックしてみたら自鯖のWordPressについては,問題なかった。
XREAのほうの「ネットワークの作成」で使っているテーマを調べたら,「delicate」がthumb.phpという名で問題のtimthumb.phpを使っていたので,脆弱性を回避するための方法として書かれていたように,
$allowedSites = array (
‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
);
のところを$allowedSites = array ();に直した。/delicate/cacheにも,/tmpにも,幸いにして怪しいファイルはなかった。もし,ハックされてるかどうかは,WordPressのインストールディレクトリで,base64_decodeのあるファイルを確認する。base64_decode関数の括弧内にエンコード・ストリングの長いのが見つかったら,多分ハックされてるって。
追記:
「セキュリティホール memo」さんでも報告があっていた。
追記2:
A secure rewrite of timthumb.php as WordThumb (魚拓です) を読んでて気になったので,縦書き集のcURL関数に, curl_setopt ($curl, CURLOPT_TIMEOUT_MS,5000); を追加。PHP5.2.3未満,cURL7.16.2未満だと,CURLOPT_TIMEOUTじゃないと使えないだろう。value の適切な設定値が分からないので一応5秒に設定。
追記3(8/6):
今回の脆弱性の修正が施されたTimThumb 2.0がリリースされた。
http://timthumb.googlecode.com/svn/trunk/timthumb.php ☜ Google Code のサービスの終了とともにリンク先も消えたので,今掲載しているのは,魚拓である。新しい TimThumb のリポジトリは GitHub にあるようだが……。(2016.5.13 追記)
で配布されている。私は,まだ未検証。帰宅後,試すつもりです。
追記4(8/6):
帰宅後,試すつもりと書いたのだが,帰ってきてXREAのWordPress3.2にアクセスしたら,早くも,Delicateのバージョン: 3.4.4の通知が来ていた。早速アップデート。したのち,確認したら,thumb.php,custom-thumb.php,cacheがきれいさっぱりなくなっている。えーっ,それはないよ。timthumb.php ver.2.0が試せないじゃん。テストサイトだから,そんなとこまでローカル・バックアップ取っていないし。アップデート前に試してみるべきだった。アチャーッ。